Сведения о проблемах системы безопасности, устраняемых обновлением Safari 17.6

В этом документе описаны проблемы системы безопасности, устраненные в Safari 17.6.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Safari 17.6

Safari

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. Посещение веб-сайта, через который распространяется вредоносный контент, может привести к подмене пользовательского интерфейса.

Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.

CVE-2024-40817: Йаду Кришна М (Yadhu Krishna M) и Нарендра Бхати (Narendra Bhati), менеджер из Cyber Security At Suma Soft Pvt. Ltd, Пуна (Индия)

WebKit

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2024-40776: Huang Xilin из Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-40779: Huang Xilin из Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin из Ant Group Light-Year Security Lab

WebKit

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. При обработке вредоносного веб-содержимого возможна атака с использованием межсайтовых сценариев.

Описание. Проблема устранена путем улучшения проверок.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-40789: Seunghyun Lee (@0x10n) из KAIST Hacking Lab в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.

CVE-2024-4558

WebKit

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. Вкладки в режиме «Частный доступ» могут быть доступны без аутентификации.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-40794: Matthew Butler

WebKit

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44185: Gary Kwong

WebKit

Целевые продукты: macOS Monterey и macOS Ventura

Воздействие. Пользователь может обходить некоторые ограничения веб-контента.

Описание. Проблема с обработкой протоколов URL устранена путем улучшения логики.

CVE-2024-44206: Andreas Jaegersberger и Ro Achterberg

Дополнительные благодарности

WebKit

Выражаем благодарность за помощь анонимному исследователю.