Safari 17のセキュリティコンテンツについて
Safari 17のセキュリティコンテンツについて説明します。
Appleセキュリティアップデートについて
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
Safari 17
2023年9月26日リリース
Safari
対象:macOS MontereyおよびmacOS Ventura
影響:悪意のあるコンテンツが含まれるWebサイトを表示すると、UIが偽装される可能性がある。
説明:ステート管理を強化し、ウインドウ管理の脆弱性に対処しました。
CVE-2023-40417:Suma Soft Pvt. Ltd.(インド、プネー)のNarendra Bhati氏(twitter.com/imnarendrabhati)
2024年1月2日に更新
WebKit
対象:macOS MontereyおよびmacOS Ventura
影響:リモートの攻撃者が、プライベートリレーが有効な状態で、漏洩したDNSクエリを表示できる可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
WebKit Bugzilla:257303
CVE-2023-40385:匿名
2024年1月2日に追加
WebKit
対象:macOS MontereyおよびmacOS Ventura
影響:Webコンテンツを処理すると、任意のコードを実行される可能性がある。
説明:チェックを改善して、精度の問題に対処しました。
WebKit Bugzilla:258592
CVE-2023-42833:AbyssLabのDong Jun Kim氏(@smlijun)およびJong Seong Kim氏(@nevul37)
2024年1月2日に追加
WebKit
対象:macOS MontereyおよびmacOS Ventura
影響:Webコンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:249451
CVE-2023-39434:Francisco Alonso氏(@revskills)、PK SecurityのDohyun Lee氏(@l33d0hyun)
WebKit Bugzilla:258992
CVE-2023-40414:Francisco Alonso氏(@revskills)
WebKit Bugzilla:259583
CVE-2023-42970:Cross Republicの이준성(Junsung Lee)氏
2024年1月2日に追加、2025年4月7日に更新
WebKit
対象:macOS MontereyおよびmacOS Ventura
影響:JavaScriptを実行可能な攻撃者により、任意のコードを実行される可能性がある。
説明:この問題は、iframeのサンドボックスの適用を改善することで解決されました。
WebKit Bugzilla:251276
CVE-2023-40451:匿名の研究者
WebKit
対象:macOS MontereyおよびmacOS Ventura
影響:Webコンテンツを処理すると、任意のコードを実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:256551
CVE-2023-41074:Cross Republicの이준성(Junsung Lee)氏、HKUS3 LabのJie Ding氏(@Lime)
2024年1月2日に更新
WebKit
対象:macOS MontereyおよびmacOS Ventura
影響:Webコンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:239758
CVE-2023-35074:AbyssLabのDong Jun Kim氏(@smlijun)およびJong Seong Kim氏(@nevul37)、zhunki氏
WebKit Bugzilla:259606
CVE-2023-42875:이준성(Junsung Lee)氏
2025年4月7日に更新
WebKit
対象OS:macOS Ventura
影響:Webコンテンツを処理すると、任意のコードを実行される可能性がある。Appleでは、iOS 16.7より前にリリースされたバージョンのiOSで、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:261544
CVE-2023-41993:The University of Toronto's Munk SchoolのThe Citizen LabのBill Marczak氏、GoogleのThreat Analysis GroupのMaddie Stone氏
ご協力いただいたその他の方々
WebKit
Suma Soft Pvt. Ltd.(インド、プネー)のKhiem Tran氏とNarendra Bhati氏のご協力に感謝いたします。
WebRTC
匿名の研究者のご協力に感謝いたします。
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。