เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 16.4

เอกสารนี้อธิบายเนื้อหาด้านความปลอดภัยของ Safari 16.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

Safari 16.4

เปิดตัวเมื่อวันที่ 27 มีนาคม 2023

WebKit

มีให้สำหรับ: macOS Big Sur และ macOS Monterey

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 251890

CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), และ Boris Larin (@oct0xor) จาก Kaspersky

เพิ่มรายการเมื่อวันที่ 21 มิถุนายน 2023

WebKit

มีให้สำหรับ: macOS Big Sur และ macOS Monterey

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 248615

CVE-2023-27932: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Big Sur และ macOS Monterey

ผลกระทบ: เว็บไซต์อาจสามารถติดตามข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบข้อมูลต้นทางออก

WebKit Bugzilla: 250837

CVE-2023-27954: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Big Sur และ macOS Monterey

ผลกระทบ: การประมวลผลไฟล์อาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

WebKit Bugzilla: 249434

CVE-2014-1745: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

WebKit

มีให้สำหรับ: macOS Big Sur และ macOS Monterey

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 250429

CVE-2023-28198: hazbinhotel ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

WebKit

มีให้สำหรับ: macOS Big Sur และ macOS Monterey

ผลกระทบ: นโยบายความปลอดภัยคอนเทนต์เพื่อบล็อกโดเมนที่มีตัวอักษรแทน (Wildcard) อาจล้มเหลว

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 250709

CVE-2023-32370: Gertjan Franken จาก imec-DistriNet, KU Leuven

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

WebKit Web Inspector

มีให้สำหรับ: macOS Big Sur และ macOS Monterey

ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) จาก SSD Labs

เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023

คำขอบคุณพิเศษ

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

WebKit Web Inspector

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dohyun Lee (@l33d0hyun) และ crixer (@pwning_me) จาก SSD Labs

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: