เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 16.4
เอกสารนี้อธิบายเนื้อหาด้านความปลอดภัยของ Safari 16.4
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
Safari 16.4
เปิดตัวเมื่อวันที่ 27 มีนาคม 2023
WebKit
มีให้สำหรับ: macOS Big Sur และ macOS Monterey
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), และ Boris Larin (@oct0xor) จาก Kaspersky
เพิ่มรายการเมื่อวันที่ 21 มิถุนายน 2023
WebKit
มีให้สำหรับ: macOS Big Sur และ macOS Monterey
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 248615
CVE-2023-27932: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: macOS Big Sur และ macOS Monterey
ผลกระทบ: เว็บไซต์อาจสามารถติดตามข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบข้อมูลต้นทางออก
WebKit Bugzilla: 250837
CVE-2023-27954: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: macOS Big Sur และ macOS Monterey
ผลกระทบ: การประมวลผลไฟล์อาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 249434
CVE-2014-1745: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
WebKit
มีให้สำหรับ: macOS Big Sur และ macOS Monterey
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
WebKit
มีให้สำหรับ: macOS Big Sur และ macOS Monterey
ผลกระทบ: นโยบายความปลอดภัยคอนเทนต์เพื่อบล็อกโดเมนที่มีตัวอักษรแทน (Wildcard) อาจล้มเหลว
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken จาก imec-DistriNet, KU Leuven
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
WebKit Web Inspector
มีให้สำหรับ: macOS Big Sur และ macOS Monterey
ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) จาก SSD Labs
เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023
คำขอบคุณพิเศษ
CFNetwork
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
WebKit Web Inspector
เราขอขอบคุณสำหรับความช่วยเหลือจาก Dohyun Lee (@l33d0hyun) และ crixer (@pwning_me) จาก SSD Labs
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม