Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Safari 17
Kiadási dátum: 2023. szeptember 26.
Safari
A következőhöz érhető el: macOS Monterey és macOS Ventura
Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy ablakkezelési problémát.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd., Púna, India)
Bejegyzés frissítve: 2024. január 2.
WebKit
A következőhöz érhető el: macOS Monterey és macOS Ventura
Érintett terület: Egy távoli támadó megtekinthetett kiszivárgott DNS-lekérdezéseket, ha be volt kapcsolva a Privát átjátszó
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
WebKit Bugzilla: 257303
CVE-2023-40385: anonim
Bejegyzés hozzáadva: 2024. január 2.
WebKit
A következőhöz érhető el: macOS Monterey és macOS Ventura
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.
WebKit Bugzilla: 258592
CVE-2023-42833: Abysslab – Dong Jun Kim (@smlijun) és Jong Seong Kim (@nevul37)
Bejegyzés hozzáadva: 2024. január 2.
WebKit
A következőhöz érhető el: macOS Monterey és macOS Ventura
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Bejegyzés hozzáadva: 2024. január 2.
WebKit
A következőhöz érhető el: macOS Monterey és macOS Ventura
Érintett terület: A JavaScript-végrehajtással rendelkező támadók tetszőleges programkódot tudtak futtatni.
Leírás: Az iframe-ek sandboxban való futtatásának hatékonyabb kikényszerítésével hárítottuk el a problémát.
WebKit Bugzilla: 251276
CVE-2023-40451: anonim kutató
WebKit
A következőhöz érhető el: macOS Monterey és macOS Ventura
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성 (Junsung Lee, Cross Republic) és Jie Ding (@Lime, HKUS3 Lab)
Bejegyzés frissítve: 2024. január 2.
WebKit
A következőhöz érhető el: macOS Monterey és macOS Ventura
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) és Jong Seong Kim (@nevul37)
Bejegyzés frissítve: 2024. január 2.
WebKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 16.7 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak (The Citizen Lab, University of Toronto, Munk School) és Maddie Stone (Google Threat Analysis Group)
További köszönetnyilvánítás
WebKit
Köszönjük Khiem Tran és Narendra Bhati (Suma Soft Pvt. Ltd, Púna, India) segítségét.
WebRTC
Köszönjük egy anonim kutató segítségét.