Informazioni sui contenuti di sicurezza di Safari 17

In questo documento vengono descritti i contenuti di sicurezza di Safari 17.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza di Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

Safari 17

Safari

Disponibile per: macOS Monterey e macOS Ventura

Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.

Descrizione: un problema di gestione delle finestre è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune (India)

WebKit

Disponibile per: macOS Monterey e macOS Ventura

Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare query DNS divulgate con la funzione Relay privato attivata.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-40385: anonimo

WebKit

Disponibile per: macOS Monterey e macOS Ventura

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: un problema di correttezza è stato risolto attraverso migliori controlli.

CVE-2023-42833: Dong Jun Kim (@smlijun) e Jong Seong Kim (@nevul37) di AbyssLab

WebKit

Disponibile per: macOS Monterey e macOS Ventura

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-39434: Francisco Alonso (@revskills) e Dohyun Lee (@l33d0hyun) di PK Security

CVE-2023-40414: Francisco Alonso (@revskills)

CVE-2023-42970: 이준성(Junsung Lee) di Cross Republic

WebKit

Disponibile per: macOS Monterey e macOS Ventura

Impatto: un utente malintenzionato con l'esecuzione di JavaScript può essere in grado di eseguire codice arbitrario.

Descrizione: questo problema è stato risolto attraverso una migliore applicazione della sandbox iframe.

CVE-2023-40451: un ricercatore anonimo

WebKit

Disponibile per: macOS Monterey e macOS Ventura

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-41074: 이준성(Junsung Lee) di Cross Republic e Jie Ding(@Lime) di HKUS3 Lab

WebKit

Disponibile per: macOS Monterey e macOS Ventura

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-35074: Dong Jun Kim (@smlijun) e Jong Seong Kim (@nevul37) di AbyssLab, e zhunki

CVE-2023-42875: 이준성(Junsung Lee)

WebKit

Disponibile per: macOS Ventura

Impatto: l'elaborazione di un contenuto web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-41993: Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google

Altri riconoscimenti

WebKit

Ringraziamo Khiem Tran e Narendra Bhati di Suma Soft Pvt. Ltd, Pune (India) per l'assistenza.

WebRTC

Ringraziamo un ricercatore anonimo per l'assistenza.