Проблеми системи безпеки, які усунено в оновленні Safari 17.6

У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 17.6.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

Safari 17.6

Safari

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: відвідування вебсайту, який містить шкідливий контент, може призвести до підміни інтерфейсу користувача.

Опис: проблему вирішено завдяки вдосконаленню обробки інтерфейсу користувача.

CVE-2024-40817: Yadhu Krishna M і Narendra Bhati, менеджер кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2024-40776: Huang Xilin з Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-40779: Huang Xilin з Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin з Ant Group Light-Year Security Lab

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка шкідливого вебконтенту може призводити до атаки за допомогою міжсайтових сценаріїв.

Опис: цю проблему усунено завдяки поліпшенню перевірок.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2024-40789: Seunghyun Lee (@0x10n) із KAIST Hacking Lab, який працює з Trend Micro Zero Day Initiative

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: це вразливість у відкритому вихідному коді, а програмне забезпечення Apple є одним із проєктів, що зазнали цього впливу. Ідентифікатор CVE призначила стороння організація. Дізнайтесь більше про проблему та ідентифікатор CVE-ID на сайті cve.org.

CVE-2024-4558

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: доступ до вкладок, відкритих у режимі «Приватний перегляд», можна отримати без автентифікації.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-40794: Matthew Butler

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44185: Gary Kwong

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: користувач може обходити деякі обмеження вебвмісту.

Опис: вирішено проблему з обробкою URL-протоколів завдяки вдосконаленню логіки.

CVE-2024-44206: Andreas Jaegersberger й Ro Achterberg

Додаткова подяка

WebKit

Дякуємо за допомогу анонімному досліднику.