Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Safari 16.4
Kiadás dátuma: 2023. március 27.
WebKit
A következőkhöz érhető el: macOS Big Sur és macOS Monterey
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát aktívan kihasználták az iOS 15.7 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) és Boris Larin (@oct0xor, Kaspersky)
Bejegyzés hozzáadva: 2023. június 21.
WebKit
A következőkhöz érhető el: macOS Big Sur és macOS Monterey
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
WebKit Bugzilla: 248615
CVE-2023-27932: anonim kutató
WebKit
A következőkhöz érhető el: macOS Big Sur és macOS Monterey
Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.
Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.
WebKit Bugzilla: 250837
CVE-2023-27954: anonim kutató
WebKit
A következőkhöz érhető el: macOS Big Sur és macOS Monterey
Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 249434
CVE-2014-1745: anonim kutató
Bejegyzés hozzáadva: 2023. december 21.
WebKit
A következőkhöz érhető el: macOS Big Sur és macOS Monterey
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel, a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés hozzáadva: 2023. december 21.
WebKit
A következőkhöz érhető el: macOS Big Sur és macOS Monterey
Érintett terület: Előfordult, hogy a helyettesítő karaktereket tartalmazó tartományok blokkolására szolgáló tartalombiztonsági szabályzat nem működött megfelelően.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken (imec-DistriNet), KU Leuven
Bejegyzés hozzáadva: 2023. december 21.
WebKit Web Inspector
A következőkhöz érhető el: macOS Big Sur és macOS Monterey
Érintett terület: Bizonyos esetekben a távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me, SSD Labs)
Bejegyzés hozzáadva 2023. május 1-én.
További köszönetnyilvánítás
CFNetwork
Köszönjük egy anonim kutató segítségét.
WebKit
Köszönjük egy anonim kutató segítségét.
WebKit Web Inspector
Köszönjük Dohyun Lee (@l33d0hyun) és crixer (@pwning_me, SSD Labs) segítségét.