เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 17
เอกสารฉบับนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 17
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
Safari 17
เผยแพร่เมื่อวันที่ 26 กันยายน 2023
Safari
มีให้สำหรับ: macOS Monterey และ macOS Ventura
ผลกระทบ: การเข้าเว็บไซต์ที่มีคอนเทนต์ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลง UI
คำอธิบาย: ปัญหาการจัดการคุกกี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) จาก Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)
อัปเดตรายการเมื่อวันที่ 2 มกราคม 2024
WebKit
มีให้สำหรับ: macOS Monterey และ macOS Ventura
ผลกระทบ: ผู้โจมตีระยะไกลอาจดูคำขอ DNS ที่รั่วไหลได้ขณะที่ Private Relay เปิดทำงานอยู่
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก
WebKit Bugzilla: 257303
CVE-2023-40385: นิรนาม
เพิ่มรายการเมื่อวันที่ 2 มกราคม 2024
WebKit
มีให้สำหรับ: macOS Monterey และ macOS Ventura
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาความถูกต้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) และ Jong Seong Kim (@nevul37) จาก AbyssLab
เพิ่มรายการเมื่อวันที่ 2 มกราคม 2024
WebKit
มีให้สำหรับ: macOS Monterey และ macOS Ventura
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) และ Dohyun Lee (@l33d0hyun) จาก PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
WebKit Bugzilla: 259583
CVE-2023-42970: 이준성(Junsung Lee) จาก Cross Republic
เพิ่มรายการเมื่อวันที่ 2 มกราคม 2024 และอัปเดตรายการเมื่อวันที่ 7 เมษายน 2025
WebKit
มีให้สำหรับ: macOS Monterey และ macOS Ventura
ผลกระทบ: ผู้โจมตีที่รัน JavaScript อาจรันโค้ดโดยพลการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการบังคับใช้แซนด์บ็อกซ์ของ iframe ให้ดียิ่งขึ้น
WebKit Bugzilla: 251276
CVE-2023-40451: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: macOS Monterey และ macOS Ventura
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) จาก Cross Republic และ Jie Ding(@Lime) จาก HKUS3 Lab
อัปเดตรายการเมื่อวันที่ 2 มกราคม 2024
WebKit
มีให้สำหรับ: macOS Monterey และ macOS Ventura
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) และ Jong Seong Kim (@nevul37) จาก AbyssLab และ zhunki
WebKit Bugzilla: 259606
CVE-2023-42875: 이준성(Junsung Lee)
อัปเดตรายการเมื่อวันที่ 7 เมษายน 2025
WebKit
มีให้สำหรับ: macOS Ventura
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 16.7
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak จาก The Citizen Lab ที่ Munk School ของ The University of Toronto และ Maddie Stone จาก Google's Threat Analysis Group
คำขอบคุณพิเศษ
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Khiem Tran และ Narendra Bhati จาก Suma Soft Pvt. Ltd, ปูเน่ (อินเดีย)
WebRTC
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม