Safari 17.6のセキュリティコンテンツについて

Safari 17.6のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

Safari 17.6

2024年7月29日リリース

Safari

対象:macOS MontereyおよびmacOS Ventura

影響:悪意のあるコンテンツが含まれるWebサイトを表示すると、UIが偽装される可能性があります。

説明:UIの処理を改善することで、この問題を解決しました。

CVE-2024-40817:Yadhu Krishna M氏、Ltd.(インド、プネー)のNarendra Bhati氏(twitter.com/imnarendrabhati)

WebKit

対象:macOS MontereyおよびmacOS Ventura

影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。

WebKit Bugzilla:273176

CVE-2024-40776:Ant Group Light-Year Security LabのHuang Xilin氏

WebKit Bugzilla:268770

CVE-2024-40782:Maksymilian Motyl氏

WebKit

対象:macOS MontereyおよびmacOS Ventura

影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

WebKit Bugzilla:275431

CVE-2024-40779:Ant Group Light-Year Security LabのHuang Xilin氏

WebKit Bugzilla:275273

CVE-2024-40780:Ant Group Light-Year Security LabのHuang Xilin氏

WebKit

対象:macOS MontereyおよびmacOS Ventura

影響:悪意を持って作成されたWebコンテンツを処理すると、クロスサイトスクリプティング攻撃につながるおそれがある。

説明:この問題は、チェックを強化することで解決されました。

WebKit Bugzilla:273805

CVE-2024-40785:Johan Carlsson氏(joaxcar)

WebKit

対象:macOS MontereyおよびmacOS Ventura

影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2024-40789:Trend Micro Zero Day Initiativeに協力するKAIST Hacking LabのSeunghyun Lee氏(@0x10n)

WebKit

対象:macOS MontereyおよびmacOS Ventura

影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.org を確認してください。

WebKit Bugzilla:274165

CVE-2024-4558

WebKit

対象:macOS MontereyおよびmacOS Ventura

影響:プライベートブラウズのタブに、認証されないままアクセスできる可能性がある。

説明:ステート管理を改善し、この問題に対処しました。

WebKit Bugzilla:275272

CVE-2024-40794:Matthew Butler氏

WebKit

対象:macOS MontereyおよびmacOS Ventura

影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明:チェックを強化することで、この問題に対処しました。

WebKit Bugzilla:276097

CVE-2024-44185:Gary Kwong氏

2024年10月15日に追加

WebKit

対象:macOS MontereyおよびmacOS Ventura

影響:ユーザがWebコンテンツ規制を回避できる可能性がある。

説明:URLプロトコルの処理に脆弱性がありましたが、ロジックを強化して対処しました。

WebKit Bugzilla:280765

CVE-2024-44206:Andreas Jaegersberger氏およびRo Achterberg氏

2024年10月15日に追加

ご協力いただいたその他の方々

WebKit

匿名の研究者のご協力に感謝いたします。

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: