Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
Safari 17
Data di rilascio: 26 settembre 2023
Safari
Disponibile per: macOS Monterey e macOS Ventura
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.
Descrizione: un problema di gestione delle finestre è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune (India)
Voce aggiornata il 2 gennaio 2024
WebKit
Disponibile per: macOS Monterey e macOS Ventura
Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare query DNS divulgate con la funzione Relay privato attivata.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
WebKit Bugzilla: 257303
CVE-2023-40385: anonimo
Voce aggiunta il 2 gennaio 2024
WebKit
Disponibile per: macOS Monterey e macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di correttezza è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) e Jong Seong Kim (@nevul37) di AbyssLab
Voce aggiunta il 2 gennaio 2024
WebKit
Disponibile per: macOS Monterey e macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Voce aggiunta il 2 gennaio 2024
WebKit
Disponibile per: macOS Monterey e macOS Ventura
Impatto: un utente malintenzionato con l'esecuzione di JavaScript può essere in grado di eseguire codice arbitrario.
Descrizione: questo problema è stato risolto attraverso una migliore applicazione della sandbox iframe.
WebKit Bugzilla: 251276
CVE-2023-40451: un ricercatore anonimo
WebKit
Disponibile per: macOS Monterey e macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) di Cross Republic e Jie Ding(@Lime) di HKUS3 Lab
Voce aggiornata il 2 gennaio 2024
WebKit
Disponibile per: macOS Monterey e macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) e Jong Seong Kim(@nevul37)
Voce aggiornata il 2 gennaio 2024
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un contenuto web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google
Altri riconoscimenti
WebKit
Ringraziamo Khiem Tran e Narendra Bhati di Suma Soft Pvt. Ltd, Pune (India) per l'assistenza.
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.