Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
Safari 16.2
Wydano 13 grudnia 2022 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-46705: Hyeon Park (@tree_segment) z Team ApplePIE
Wpis dodano 22 grudnia 2022 r., uaktualniono 16 marca 2023 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone z Google Project Zero
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 245466
CVE-2022-46691: anonimowy badacz
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ominąć zasadę tego samego pochodzenia.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 246721
CVE-2022-42852: hazbinhotel w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 22 grudnia 2022 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß z Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß z Google V8 Security
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić poufne informacje użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) z DNSLab w Korea University, Ryan Shin z IAAI SecLab w Korea University
Wpis uaktualniono 22 grudnia 2022 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß z Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: anonimowy badacz
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.1.
Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne z Threat Analysis Group firmy Google
Dodatkowe podziękowania
WebKit
Dziękujemy za udzieloną pomoc: anonimowy badacz, scarlet.