Проблеми системи безпеки, які усунено в оновленні Safari 17

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

Дата випуску: 26 вересня 2023 р.

Safari

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: відвідування вебсайту, який містить шкідливий контент, може призвести до підміни інтерфейсу користувача.

Опис: проблему з керування вікнами вирішено завдяки поліпшенню керування станами.

CVE-2023-40417: Нарендра Бхаті (Narendra Bhati, twitter.com/imnarendrabhati) із Suma Soft Pvt. Ltd., м. Пуне (Індія)

Запис оновлено 2 січня 2024 р.

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: зловмисник міг дистанційно переглядати запити DNS, отримані в результаті витоку, з увімкненою функцією «Приват-реле».

Опис: проблему вирішено шляхом видалення вразливого коду.

WebKit Bugzilla: 257303
CVE-2023-40385: анонімний дослідник

Запис додано 2 січня 2024 р.

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 258592
CVE-2023-42833: Дон Джун Кім (Dong Jun Kim, @smlijun) і Чон Сеон Кім (Jong Seong Kim, @nevul37) з AbyssLab

Запис додано 2 січня 2024 р.

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

WebKit Bugzilla: 258992
CVE-2023-40414: Франциско Алонсо (Francisco Alonso, @revskills)

Запис додано 2 січня 2024 р.

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: зловмисник може виконувати довільний код, використовуючи JavaScript.

Опис: цю проблему усунено завдяки поліпшенню виконання iframe sandbox.

WebKit Bugzilla: 251276
CVE-2023-40451: анонімний дослідник

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 256551
CVE-2023-41074: Джунсон Лі (Junsung Lee, 이준성) із Cross Republic і Джіе Дін (Jie Ding, @Lime) з HKUS3 Lab

Запис оновлено 2 січня 2024 р.

WebKit

Цільові продукти: macOS Monterey і macOS Ventura

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 239758
CVE-2023-35074: Дон Джун Кім (Dong Jun Kim, @smlijun) і Чон Сеон Кім (Jong Seong Kim, @nevul37) з Ajou University Abysslab

Запис оновлено 2 січня 2024 р.

WebKit

Доступно для: macOS Ventura

Вплив: обробка вебвмісту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема, можливо, активно використовувалася у версіях iOS, випущених до iOS 16.7.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak із Citizen Lab при Школі імені Манка Університету Торонто й Maddie Stone із групи аналізу загроз Google

WebKit

Дякуємо за допомогу Khiem Tran і Narendra Bhatiі із Suma Soft Pvt. Ltd, м. Пуне (Індія).

WebRTC

Дякуємо за допомогу анонімному досліднику.