Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
Safari 16.4
Wydano 27 marca 2023 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetwarzanie zawartości internetowej mogło spowodować wykonanie dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) z Kaspersky
Wpis dodano 21 czerwca 2023 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ominąć zasadę tego samego pochodzenia.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
WebKit Bugzilla: 248615
CVE-2023-27932: anonimowy badacz
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: witryna internetowa może być w stanie ujawnić poufne informacje użytkownika.
Opis: ten problem rozwiązano przez usunięcie informacji o źródle.
WebKit Bugzilla: 250837
CVE-2023-27954: anonimowy badacz
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 249434
CVE-2014-1745: anonimowy badacz
Wpis dodano 21 grudnia 2023 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 21 grudnia 2023 r.
WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: może wystąpić błąd podczas blokowania domen z symbolami wieloznacznymi przez reguły Content Security Policy.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken z imec-DistriNet, KU Leuven
Wpis dodano 21 grudnia 2023 r.
Inspektor www WebKit
Dostępne dla: systemów macOS Big Sur i macOS Monterey
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) z SSD Labs
Wpis dodano 1 maja 2023 r.
Dodatkowe podziękowania
CFNetwork
Dziękujemy anonimowemu badaczowi za pomoc.
WebKit
Dziękujemy anonimowemu badaczowi za pomoc.
Inspektor www WebKit
Dziękujemy za udzieloną pomoc: Dohyun Lee (@l33d0hyun) i crixer (@pwning_me) z SSD Labs.