A Safari 17.6 biztonsági változásjegyzéke

Ez a dokumentum a Safari 17.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Safari 17.6

Safari

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

CVE-2024-40817: Yadhu Krishna M és Narendra Bhati (a Cyber Security vezetője, Suma Soft Pvt. Ltd., Púna, India)

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab, Trend Micro Zero Day Initiative)

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-4558

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: A Privát böngészés lapjaihoz hitelesítés nélkül is hozzá lehetett férni.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-40794: Matthew Butler

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44185: Gary Kwong

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: A felhasználók bizonyos esetekben megkerülhettek egyes webes tartalomkorlátozásokat.

Leírás: Továbbfejlesztett logikával elhárítottuk az URL-protokollok kezelésével kapcsolatos problémát.

CVE-2024-44206: Andreas Jaegersberger és Ro Achterberg

További köszönetnyilvánítás

WebKit

Köszönjük egy anonim kutató segítségét.