Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
Safari 17
Дата випуску: 26 вересня 2023 р.
Safari
Цільові продукти: macOS Monterey і macOS Ventura
Вплив: відвідування вебсайту, який містить шкідливий контент, може призвести до підміни інтерфейсу користувача.
Опис: проблему з керування вікнами вирішено завдяки поліпшенню керування станами.
CVE-2023-40417: Нарендра Бхаті (Narendra Bhati, twitter.com/imnarendrabhati) із Suma Soft Pvt. Ltd., м. Пуне (Індія)
Запис оновлено 2 січня 2024 р.
WebKit
Цільові продукти: macOS Monterey і macOS Ventura
Вплив: зловмисник міг дистанційно переглядати запити DNS, отримані в результаті витоку, з увімкненою функцією «Приват-реле».
Опис: проблему вирішено шляхом видалення вразливого коду.
WebKit Bugzilla: 257303
CVE-2023-40385: анонімний дослідник
Запис додано 2 січня 2024 р.
WebKit
Цільові продукти: macOS Monterey і macOS Ventura
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 258592
CVE-2023-42833: Дон Джун Кім (Dong Jun Kim, @smlijun) і Чон Сеон Кім (Jong Seong Kim, @nevul37) з AbyssLab
Запис додано 2 січня 2024 р.
WebKit
Цільові продукти: macOS Monterey і macOS Ventura
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 258992
CVE-2023-40414: Франциско Алонсо (Francisco Alonso, @revskills)
Запис додано 2 січня 2024 р.
WebKit
Цільові продукти: macOS Monterey і macOS Ventura
Вплив: зловмисник може виконувати довільний код, використовуючи JavaScript.
Опис: цю проблему усунено завдяки поліпшенню виконання iframe sandbox.
WebKit Bugzilla: 251276
CVE-2023-40451: анонімний дослідник
WebKit
Цільові продукти: macOS Monterey і macOS Ventura
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 256551
CVE-2023-41074: Джунсон Лі (Junsung Lee, 이준성) із Cross Republic і Джіе Дін (Jie Ding, @Lime) з HKUS3 Lab
Запис оновлено 2 січня 2024 р.
WebKit
Цільові продукти: macOS Monterey і macOS Ventura
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 239758
CVE-2023-35074: Дон Джун Кім (Dong Jun Kim, @smlijun) і Чон Сеон Кім (Jong Seong Kim, @nevul37) з Ajou University Abysslab
Запис оновлено 2 січня 2024 р.
WebKit
Доступно для: macOS Ventura
Вплив: обробка вебвмісту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема, можливо, активно використовувалася у версіях iOS, випущених до iOS 16.7.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak із Citizen Lab при Школі імені Манка Університету Торонто й Maddie Stone із групи аналізу загроз Google
Додаткова подяка
WebKit
Дякуємо за допомогу Khiem Tran і Narendra Bhatiі із Suma Soft Pvt. Ltd, м. Пуне (Індія).
WebRTC
Дякуємо за допомогу анонімному досліднику.