Obsah zabezpečenia v prehliadači Safari 17

V tomto dokumente sa opisuje obsah zabezpečenia v prehliadači Safari 17.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

Safari 17

Safari

Dostupné pre: macOS Monterey a macOS Ventura

Dopad: Návšteva stránky, ktorá obsahuje škodlivý obsah, môže viesť k sfalšovaniu používateľského rozhrania

Popis: Dochádzalo k problému so správou okien, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) zo spoločnosti Suma Soft Pvt. Ltd, Pune (India)

WebKit

Dostupné pre: macOS Monterey a macOS Ventura

Dopad: Vzdialený útočník môže byť schopný zobraziť si uniknuté dopyty DNS pri zapnutej funkcii Súkromný prenos

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-40385: Anonymný výskumník

WebKit

Dostupné pre: macOS Monterey a macOS Ventura

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2023-42833: Dong Jun Kim (@smlijun) a Jong Seong Kim (@nevul37) z tímu AbyssLab

WebKit

Dostupné pre: macOS Monterey a macOS Ventura

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-39434: Francisco Alonso (@revskills) a Dohyun Lee (@l33d0hyun) z tímu PK Security

CVE-2023-40414: Francisco Alonso (@revskills)

CVE-2023-42970: 이준성 (Junsung Lee) z tímu Cross Republic

WebKit

Dostupné pre: macOS Monterey a macOS Ventura

Dopad: Útočník s možnosťou spustenia JavaScriptu môže byť schopný spustiť ľubovoľný kód

Popis: Tento problém bol vyriešený vylepšením vynútenia izolovania priestoru pre prvky iFrame.

CVE-2023-40451: Anonymný výskumník

WebKit

Dostupné pre: macOS Monterey a macOS Ventura

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-41074: 이준성 (Junsung Lee) z tímu Cross Republic a Jie Ding (@Lime) z tímu HKUS3 Lab

WebKit

Dostupné pre: macOS Monterey a macOS Ventura

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-35074: Dong Jun Kim (@smlijun) a Jong Seong Kim (@nevul37) z tímu AbyssLab a zhunki

CVE-2023-42875: 이준성 (Junsung Lee)

WebKit

Dostupné pre: macOS Ventura

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS starších ako iOS 16.7.

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-41993: Bill Marczak z tímu The Citizen Lab na Munk School v rámci torontskej univerzity a Maddie Stone zo skupiny Threat Analysis Group spoločnosti Google

Ďalšie poďakovanie

WebKit

Poďakovanie za pomoc si zaslúžia Khiem Tran a Narendra Bhati zo spoločnosti Suma Soft Pvt. Ltd, Pune (India).

WebRTC

Poďakovanie za pomoc si zaslúži anonymný výskumník.