Om sikkerhetsinnholdet i Safari 17
Dette dokumentet beskriver sikkerhetsinnholdet i Safari 17.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
Safari 17
Utgitt 26. september 2023
Safari
Tilgjengelig for: macOS Monterey og macOS Ventura
Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning
Beskrivelse: Et problem med vinduhåndtering ble løst med forbedret tilstandshåndtering.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune (India)
Oppføring oppdatert 02. januar 2024
WebKit
Tilgjengelig for: macOS Monterey og macOS Ventura
Virkning: En ekstern angriper kan se lekkede DNS-forespørsler med Privat trafikk slått på
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
WebKit Bugzilla: 257303
CVE-2023-40385: Anonym
Oppføring lagt til 02. januar 2024
WebKit
Tilgjengelig for: macOS Monterey og macOS Ventura
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med korrekthet ble løst med forbedrede kontroller.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) og Jong Seong Kim (@nevul37) fra AbyssLab
Oppføring lagt til 02. januar 2024
WebKit
Tilgjengelig for: macOS Monterey og macOS Ventura
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Oppføring lagt til 02. januar 2024
WebKit
Tilgjengelig for: macOS Monterey og macOS Ventura
Virkning: En angriper med JavaScript-kjøring kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndheving av sandkasse for iFrame.
WebKit Bugzilla: 251276
CVE-2023-40451: en anonym forsker
WebKit
Tilgjengelig for: macOS Monterey og macOS Ventura
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) fra Cross Republic og Jie Ding(@Lime) fra HKUS3 Lab
Oppføring oppdatert 02. januar 2024
WebKit
Tilgjengelig for: macOS Monterey og macOS Ventura
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) og Jong Seong Kim(@nevul37)
Oppføring oppdatert 02. januar 2024
WebKit
Tilgjengelig for: macOS Ventura
Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS før iOS 16.7.
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak fra The Citizen Lab hos The University of Torontos Munk School og Maddie Stone fra Googles Threat Analysis Group
Ytterligere anerkjennelser
WebKit
Vi vil gjerne takke Khiem Tran og Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) for hjelpen.
WebRTC
Vi vil gjerne takke en anonym forsker for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.