Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
Safari 16.1
Wydano 24 października 2022 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Wpis dodano 22 grudnia 2022 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) z SSD Labs
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić poufne informacje użytkownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi z Microsoft Browser Vulnerability Research, Ryan Shin z IAAI SecLab w Korea University, Dohyun Lee (@l33d0hyun) z DNSLab w Korea University
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić wewnętrzne statusy aplikacji.
Opis: naprawiono błąd dotyczący poprawności w JIT przez poprawienie procedur sprawdzania.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) z KAIST Hacking Lab
Wpis dodano 27 października 2022 r.
WebKit PDF
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) z Theori w ramach programu Zero Day Initiative firmy Trend Micro
Dodatkowe podziękowania
WebKit
Dziękujemy za udzieloną pomoc: Maddie Stone z Google Project Zero, Narendra Bhati (@imnarendrabhati) z Suma Soft Pvt. Ltd., anonimowy badacz.