Safari 17 のセキュリティコンテンツについて

Safari 17 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

Safari 17

2023 年 9 月 26 日リリース

Safari

対象:macOS Monterey および macOS Ventura

影響:悪意のあるコンテンツが含まれる Web サイトを表示すると、UI が偽装される可能性がある。

説明:ステート管理を強化し、ウインドウ管理の脆弱性に対処しました。

CVE-2023-40417:Suma Soft Pvt. Ltd. (インド、プネー) の Narendra Bhati 氏 (twitter.com/imnarendrabhati)

2024 年 1 月 2 日に更新

WebKit

対象:macOS Monterey および macOS Ventura

影響:リモートの攻撃者が、プライベートリレーが有効な状態で、漏洩した DNS クエリを表示できる可能性がある。

説明:この問題は、脆弱なコードを削除することで解決されました。

WebKit Bugzilla:257303
CVE-2023-40385:匿名

2024 年 1 月 2 日に追加

WebKit

対象:macOS Monterey および macOS Ventura

影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:チェックを改善して、精度の問題に対処しました。

WebKit Bugzilla:258592
CVE-2023-42833:AbyssLab の Dong Jun Kim 氏 (@smlijun) および Jong Seong Kim 氏 (@nevul37)

2024 年 1 月 2 日に追加

WebKit

対象:macOS Monterey および macOS Ventura

影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。

WebKit Bugzilla:258992
CVE-2023-40414:Francisco Alonso 氏 (@revskills)

2024 年 1 月 2 日に追加

WebKit

対象:macOS Monterey および macOS Ventura

影響:JavaScript を実行可能な攻撃者により、任意のコードを実行される可能性がある。

説明:この問題は、iframe のサンドボックスの適用を改善することで解決されました。

WebKit Bugzilla:251276
CVE-2023-40451:匿名の研究者

WebKit

対象:macOS Monterey および macOS Ventura

影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:チェックを強化することで、この問題に対処しました。

WebKit Bugzilla:256551
CVE-2023-41074:Cross Republic の 이준성 (Junsung Lee) 氏、HKUS3 Lab の Jie Ding 氏 (@Lime)

2024 年 1 月 2 日に更新

WebKit

対象:macOS Monterey および macOS Ventura

影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

WebKit Bugzilla:239758
CVE-2023-35074:Ajou University Abysslab の Dong Jun Kim 氏 (@smlijun) および Jong Seong Kim 氏 (@nevul37)

2024 年 1 月 2 日に更新

WebKit

対象 OS:macOS Ventura

影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。

説明:チェックを強化することで、この問題に対処しました。

WebKit Bugzilla:261544
CVE-2023-41993:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏

 

ご協力いただいたその他の方々

WebKit

Suma Soft Pvt. Ltd. (インド、プネー) の Khiem Tran 氏と Narendra Bhati 氏のご協力に感謝いたします。

WebRTC

匿名の研究者のご協力に感謝いたします。

 

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: