Сведения о проблемах системы безопасности, устраняемых обновлением Safari 16.6

В этом документе описаны проблемы системы безопасности, устраняемые обновлением Safari 16.6.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

Safari 16.6

WebKit

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие. Веб-сайт может отслеживать конфиденциальные данные пользователя.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin и Yuval Yarom

WebKit

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие. Обработка документа может приводить к атаке с использованием межсайтовых скриптов.

Описание. Проблема устранена путем улучшения проверок.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

WebKit

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема с логикой устранена путем улучшения ограничений.

WebKit Bugzilla: 257331

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) из Suma Soft Pvt. Ltd, Pune - India, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina и Lorenzo Veronese из TU Wien

WebKit

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие: веб-сайт может обойти правило одного источника

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) из Suma Soft Pvt. Ltd, Пуна, Индия

WebKit

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-38594: Yuhao Hu

CVE-2023-38595: анонимный исследователь, Jiming Wang и Jikai Ren

CVE-2023-38600: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-42866: Francisco Alonso (@revskills) и Junsung Lee

WebKit Process Model

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-38597: 이준성 (Junsung Lee) из Cross Republic

WebKit Web Inspector

Целевые продукты: macOS Big Sur и macOS Monterey

Воздействие. Обработка веб-содержимого может привести к раскрытию конфиденциальной информации.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Дополнительные благодарности

WebKit

Выражаем благодарность за помощь Narendra Bhati, @imnarendrabhati из Suma Soft Pvt. Ltd, Pune - India.

WebRTC

Выражаем благодарность за помощь анонимному исследователю.