Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
Safari 17
Wydano 26 września 2023 r.
Safari
Dostępne dla: systemów macOS Monterey i macOS Ventura
Zagrożenie: wyświetlenie strony zawierającej ramki prezentujące złośliwą zawartość może doprowadzić do podszycia się pod interfejs użytkownika.
Opis: naprawiono błąd zarządzania oknami przez poprawienie procedury zarządzania stanem.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) z Suma Soft Pvt. Ltd, Pune (India).
Wpis uaktualniono 2 stycznia 2024 r.
WebKit
Dostępne dla: systemów macOS Monterey i macOS Ventura
Zagrożenie: zdalny napastnik może być w stanie wyświetlić wyciek zapytań DNS mimo włączonej funkcji Przekazywanie prywatne.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
WebKit Bugzilla: 257303
CVE-2023-40385: anonimowy
Wpis dodano 2 stycznia 2024 r.
WebKit
Dostępne dla: systemów macOS Monterey i macOS Ventura
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd poprawności przez poprawienie sprawdzania.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) i Jong Seong Kim (@nevul37) z AbyssLab
Wpis dodano 2 stycznia 2024 r.
WebKit
Dostępne dla: systemów macOS Monterey i macOS Ventura
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Wpis dodano 2 stycznia 2024 r.
WebKit
Dostępne dla: systemów macOS Monterey i macOS Ventura
Zagrożenie: osoba atakująca za pomocą wykonania JavaScript może być w stanie wykonać dowolny kod.
Opis: ten błąd naprawiono przez poprawienie wymuszania piaskownicy iframe.
WebKit Bugzilla: 251276
CVE-2023-40451: anonimowy badacz
WebKit
Dostępne dla: systemów macOS Monterey i macOS Ventura
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) z Cross Republic and Jie Ding(@Lime) z HKUS3 Lab
Wpis uaktualniono 2 stycznia 2024 r.
WebKit
Dostępne dla: systemów macOS Monterey i macOS Ventura
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) i Jong Seong Kim(@nevul37)
Wpis uaktualniono 2 stycznia 2024 r.
WebKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetwarzanie zawartości internetowej mogło spowodować wykonanie dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 16.7.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak z Citizen Lab z siedzibą w Munk School działającej w ramach Uniwersytetu Toronto i Maddie Stone z Threat Analysis Group firmy Google
Dodatkowe podziękowania
WebKit
Dziękujemy za udzieloną pomoc: Khiem Tran i Narendra Bhati z Suma Soft Pvt. Ltd. w Pune (Indie).
WebRTC
Dziękujemy anonimowemu badaczowi za pomoc.