Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
Safari 17
Дата выпуска: 26 сентября 2023 г.
Safari
Целевые продукты: macOS Monterey и macOS Ventura
Воздействие. Посещение веб-сайта, через который распространяется вредоносный контент, может привести к подмене пользовательского интерфейса.
Описание. Проблема с управлением файлами cookie устранена путем улучшения управления состояниями.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) из Suma Soft Pvt. Ltd, Пуна (Индия)
Запись обновлена 2 января 2024 г.
WebKit
Целевые продукты: macOS Monterey и macOS Ventura
Воздействие. Удаленный злоумышленник может просматривать запросы DNS, полученные в результате утечки, при включенной функции «Частный узел».
Описание. Проблема решена путем удаления уязвимого кода.
WebKit Bugzilla: 257303
CVE-2023-40385: анонимный пользователь
Запись добавлена 2 января 2024 г.
WebKit
Целевые продукты: macOS Monterey и macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема с правильностью устранена путем улучшения проверок.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) и Jong Seong Kim (@nevul37) из AbyssLab
Запись добавлена 2 января 2024 г.
WebKit
Целевые продукты: macOS Monterey и macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Запись добавлена 2 января 2024 г.
WebKit
Целевые продукты: macOS Monterey и macOS Ventura
Воздействие. Злоумышленник может выполнять произвольный код, используя JavaScript.
Описание. Проблема устранена путем улучшенного контроля iframe sandbox.
WebKit Bugzilla: 251276
CVE-2023-40451: анонимный исследователь
WebKit
Целевые продукты: macOS Monterey и macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성 (Junsung Lee) из Cross Republic и Jie Ding (@Lime) из HKUS3 Lab
Запись обновлена 2 января 2024 г.
WebKit
Целевые продукты: macOS Monterey и macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) и Jong Seong Kim (@nevul37) из Ajou University Abysslab
Запись обновлена 2 января 2024 г.
WebKit
Целевые продукты: macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода. Apple известно о том, что эта проблема, возможно, активно использовалась в версиях iOS, выпущенных до iOS 16.7.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak из Citizen Lab из школы Мунка при Университете Торонто и Maddie Stone из Threat Analysis Group в Google.
Дополнительные благодарности
WebKit
Выражаем благодарность за помощь Khiem Tran и Narendra Bhati из Suma Soft Pvt. Ltd, Пуна (Индия).
WebRTC
Выражаем благодарность за помощь анонимному исследователю.