Om säkerhetsinnehållet i Safari 17

I det här dokumentet beskrivs säkerhetsinnehållet i Safari 17.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

Safari 17

Safari

Tillgängligt för: macOS Monterey och macOS Ventura

Effekt: Besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med fönsterhantering åtgärdades genom förbättrad tillståndshantering.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd, Pune (Indien)

WebKit

Tillgängligt för: macOS Monterey och macOS Ventura

Effekt: En fjärransluten angripare kanske kan se läckta DNS-frågor när privat reläservice är aktiverat

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2023-40385: Anonym

WebKit

Tillgängligt för: macOS Monterey och macOS Ventura

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett korrekthetsfel åtgärdades med förbättrade kontroller.

CVE-2023-42833: Dong Jun Kim (@smlijun) och Jong Seong Kim (@nevul37) på AbyssLab

WebKit

Tillgängligt för: macOS Monterey och macOS Ventura

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2023-39434: Francisco Alonso (@revskills) och Dohyun Lee (@l33d0hyun) på PK Security

CVE-2023-40414: Francisco Alonso (@revskills)

CVE-2023-42970: 이준성(Junsung Lee) på Cross Republic

WebKit

Tillgängligt för: macOS Monterey och macOS Ventura

Effekt: En angripare kan använda JavaScript-körning för att köra opålitlig kod

Beskrivning: Problemet åtgärdades genom förbättrat upprätthållande av iframe-sandlåda.

CVE-2023-40451: En anonym forskare

WebKit

Tillgängligt för: macOS Monterey och macOS Ventura

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-41074: 이준성(Junsung Lee) på Cross Republic och Jie Ding(@Lime) från HKUS3 Lab

WebKit

Tillgängligt för: macOS Monterey och macOS Ventura

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-35074: Dong Jun Kim (@smlijun) och Jong Seong Kim (@nevul37) på AbyssLab, och zhunki

CVE-2023-42875: 이준성(Junsung Lee)

WebKit

Tillgängligt för: macOS Ventura

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 16.7.

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-41993: Bill Marczak på Citizen Lab vid The University of Toronto's Munk School och Maddie Stone på Google's Threat Analysis Group

Ytterligare tack

WebKit

Vi vill tacka Khiem Tran och Narendra Bhati från Suma Soft Pvt. Ltd, Pune (India) för hjälpen.

WebRTC

Vi vill tacka en anonym forskare för hjälpen.