检测

Apple Safari 17.6 多个漏洞 (120913)

critical Nessus 插件 ID 212176

语言:

简介

远程主机缺少一个或多个安全更新。

描述

远程主机上安装的 Apple Safari 版本低于 17.6。因此,它受到 120913 公告中提及的多个漏洞影响。

 - 已通过改进内存管理解决释放后使用问题。此问题已在 iOS 16.7.9 和 iPadOS 16.7.9、Safari 17.6、iOS 17.6 和 iPadOS 17.6、watchOS 10.6、tvOS 17.6、visionOS 1.3、macOS Sonoma 14.6 中修复。处理恶意构建的 Web 内容可能导致进程意外崩溃。
 (CVE-2024-40776、CVE-2024-40782)

 - 已通过改进的边界检查解决越界写入问题。此问题已在 iOS 16.7.9 和 iPadOS 16.7.9、Safari 17.6、iOS 17.6 和 iPadOS 17.6、watchOS 10.6、tvOS 17.6、visionOS 1.3、macOS Sonoma 14.6 中修复。处理恶意构建的 Web 内容可能导致进程意外崩溃。(CVE-2024-40779、CVE-2024-40780)

 - 已通过改进检查解决此问题。此问题已在 iOS 16.7.9 和 iPadOS 16.7.9、Safari 17.6、iOS 17.6 和 iPadOS 17.6、watchOS 10.6、tvOS 17.6、visionOS 1.3、macOS Sonoma 14.6 中修复。处理恶意构建的 Web 内容可能会导致跨站脚本攻击。(CVE-2024-40785)

 - 已通过改进边界检查解决越界访问权限问题。此问题已在 iOS 16.7.9 和 iPadOS 16.7.9、Safari 17.6、iOS 17.6 和 iPadOS 17.6、watchOS 10.6、tvOS 17.6、visionOS 1.3、macOS Sonoma 14.6 中修复。处理恶意构建的 Web 内容可能导致进程意外崩溃。
 (CVE-2024-40789)

 - 已通过改进的状态管理解决此问题。此问题已在 macOS Sonoma 14.6、iOS 17.6 和 iPadOS 17.6、Safari 17.6 中修复。“隐私浏览”选项卡可不经过认证而访问。
 (CVE-2024-40794)

 - 已通过改进 UI 处理解决此问题。此问题已在 macOS Sonoma 14.6、Safari 17.6、macOS Monterey 12.7.6、macOS Ventura 13.6.8 中修复。访问包含恶意内容的网站可能会导致用户界面伪造。(CVE-2024-40817)

 - 已通过改进检查解决此问题。已在 tvOS 17.6、visionOS 1.3、Safari 17.6、watchOS 10.6、iOS 17.6 和 iPadOS 17.6、macOS Sonoma 14.6 中解决此问题。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2024-44185)

 - 已通过改进逻辑解决处理 URL 通讯协议时的问题。已在 tvOS 17.6、visionOS 1.3、Safari 17.6、watchOS 10.6、iOS 17.6 和 iPadOS 17.6、macOS Sonoma 14.6 中解决此问题。用户可绕过某些 Web 内容限制。(CVE-2024-44206)

 - 在 124.0.6367.155 版本之前的 Google Chrome 中,ANGLE 中存在释放后使用,远程攻击者可能利用此问题,通过构建的 HTML 页面利用堆损坏。(Chromium 安全严重性:高)(CVE-2024-4558)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Apple Safari 17.6 或更高版本。

另见

https://support.apple.com/en-us/120913

插件详情

严重性: Critical

ID: 212176

文件名: macos_safari_120913.nasl

版本: 1.2

类型: local

代理: macosx

发布时间: 2024/12/9

最近更新时间: 2024/12/23

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-4558

CVSS v3

风险因素: Critical

基本分数: 9.6

时间分数: 8.6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:apple:safari

必需的 KB 项: installed_sw/Apple Safari, Host/MacOSX/Version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/7/29

漏洞发布日期: 2024/5/7

参考资料信息

CVE: CVE-2024-40776, CVE-2024-40779, CVE-2024-40780, CVE-2024-40782, CVE-2024-40785, CVE-2024-40789, CVE-2024-40794, CVE-2024-40817, CVE-2024-44185, CVE-2024-44206, CVE-2024-4558