Safari 17.4のセキュリティコンテンツについて

Safari 17.4のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

Safari 17.4

Safari Private Browsing

対象：macOS MontereyおよびmacOS Ventura

影響：プライベートブラウズのタブに、認証されないままアクセスできる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-23273：Matej Rabzelj氏

WebKit

対象：macOS MontereyおよびmacOS Ventura

影響：Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-54658：SecANTのanbu1024氏

WebKit

対象：macOS MontereyおよびmacOS Ventura

影響：悪意のあるWebサイトに、オーディオデータをクロスオリジンで取得される可能性がある。

説明：UIの処理を改善することで、この問題を解決しました。

CVE-2024-23254：James Lee氏（@Windowsrcer）

WebKit

対象：macOS MontereyおよびmacOS Ventura

影響：悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。

説明：検証を強化し、ロジックの脆弱性に対処しました。

CVE-2024-23263：Johan Carlsson氏（joaxcar）

WebKit

対象：macOS MontereyおよびmacOS Ventura

影響：悪意を持って作成されたWebページが、ユーザを一意に識別するデータを作成できる場合がある。

説明：検証を強化し、インジェクションの脆弱性に対処しました。

CVE-2024-23280：匿名の研究者

WebKit

対象：macOS MontereyおよびmacOS Ventura

影響：悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。

説明：ステート管理を改善し、ロジックの問題に対処しました。

CVE-2024-23284：Georg Felber氏およびMarco Squarcina氏

ご協力いただいたその他の方々

ICU

Andr.Ess氏および匿名の研究者のご協力に感謝いたします。

Safari

Abhinav Saraswat氏およびMatthew C氏のご協力に感謝いたします。

WebRTC

Suma Soft Pvt. Ltd.（インド、プネー）のNarendra Bhati氏（twitter.com/imnarendrabhati）のご協力に感謝いたします。