Zawartość związana z zabezpieczeniami w przeglądarce Safari 17

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarce Safari 17.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Safari 17

Safari 

Dostępne dla: systemów macOS Monterey i macOS Ventura

Zagrożenie: wyświetlenie strony zawierającej ramki prezentujące złośliwą zawartość może doprowadzić do podszycia się pod interfejs użytkownika.

Opis: naprawiono błąd zarządzania oknami przez poprawienie procedury zarządzania stanem.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) z Suma Soft Pvt. Ltd, Pune (India).

WebKit

Dostępne dla: systemów macOS Monterey i macOS Ventura

Zagrożenie: osoba atakująca zdalnie może być w stanie wyświetlić wyciek zapytań DNS mimo włączonej funkcji Przekazywanie prywatne.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-40385: anonimowy

WebKit

Dostępne dla: systemów macOS Monterey i macOS Ventura

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: rozwiązano problem dotyczący poprawności przez poprawienie procedur sprawdzania.

CVE-2023-42833: Dong Jun Kim (@smlijun) i Jong Seong Kim (@nevul37) z AbyssLab

WebKit

Dostępne dla: systemów macOS Monterey i macOS Ventura

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2023-39434: Francisco Alonso (@revskills) i Dohyun Lee (@l33d0hyun) z PK Security

CVE-2023-40414: Francisco Alonso (@revskills)

CVE-2023-42970: 이준성(Junsung Lee) z Cross Republic

WebKit

Dostępne dla: systemów macOS Monterey i macOS Ventura

Zagrożenie: osoba atakująca za pomocą wykonania JavaScript może być w stanie wykonać dowolny kod.

Opis: ten błąd naprawiono przez poprawienie wymuszania piaskownicy iframe.

CVE-2023-40451: anonimowy badacz

WebKit

Dostępne dla: systemów macOS Monterey i macOS Ventura

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-41074: 이준성(Junsung Lee) z Cross Republic i Jie Ding(@Lime) z HKUS3 Lab

WebKit

Dostępne dla: systemów macOS Monterey i macOS Ventura

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-35074: Dong Jun Kim (@smlijun) i Jong Seong Kim (@nevul37) z AbyssLab oraz zhunki

CVE-2023-42875: 이준성(Junsung Lee)

WebKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetwarzanie zawartości internetowej mogło spowodować wykonanie dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 16.7.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-41993: Bill Marczak z Citizen Lab z siedzibą w Munk School działającej w ramach Uniwersytetu Toronto i Maddie Stone z Threat Analysis Group firmy Google

Dodatkowe podziękowania

WebKit

Dziękujemy za udzieloną pomoc: Khiem Tran i Narendra Bhati z Suma Soft Pvt. Ltd. w Pune (Indie).

WebRTC

Dziękujemy anonimowemu badaczowi za pomoc.