Acerca del contenido de seguridad de Safari 26.4

En este documento se describe el contenido de seguridad de Safari 26.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

Safari 26.4

WebKit

Disponible para: macOS Sonoma y macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2026-20665: webb

WebKit

Disponible para: macOS Sonoma y macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados podría omitir la política de mismo origen.

Descripción: se ha solucionado un problema entre orígenes en la API Navigation mejorando la validación de las entradas.

CVE-2026-20643: Thomas Espach

WebKit

Disponible para: macOS Sonoma y macOS Sequoia

Impacto: visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2026-28871: @hamayanhamayan

WebKit

Disponible para: macOS Sonoma y macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcís Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Disponible para: macOS Sonoma y macOS Sequoia

Impacto: un sitio web malicioso podría acceder a los controladores de mensajes de script destinados a otros orígenes

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2026-28861: Hongze Wu y Shuaike Dong de Ant Group Infrastructure Security Team

WebKit

Disponible para: macOS Sonoma y macOS Sequoia

Impacto: un sitio web malicioso podría procesar contenido web restringido fuera de la zona protegida

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Disponible para: macOS Sonoma y macOS Sequoia

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Otros agradecimientos

Safari

Queremos dar las gracias a @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad y Yair por su ayuda.

Web Extensions

Queremos dar las gracias a Carlos Jeurissen y Rob Wu (robwu.nl) por su ayuda.

WebKit

Queremos dar las gracias a Vamshi Paili por su ayuda.

WebKit Process Model

Queremos dar las gracias a Joseph Semaan por su ayuda.