Informace o bezpečnostním obsahu Safari 18.4
Tento dokument popisuje bezpečnostní obsah Safari 18.4.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
Safari 18.4
Vydáno 31. března 2025
Authentication Services
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Škodlivému webu se může podařit získat přihlašovací údaje WebAuthn z jiného webu se stejnou registrovatelnou příponou.
Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.
CVE-2025-24180: Martin Kreichgauer z týmu Google Chrome
Safari
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Web může být schopen obejít zásady stejného původu.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Záznam přidán 28. května 2025
Safari
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.
Popis: Problém byl vyřešen vylepšením uživatelského rozhraní.
CVE-2025-24113: @RenwaX23
Safari
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-30467: @RenwaX23
Safari
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Webové stránce se může podařit získat přístup k uživatelovým citlivým údajům bez jeho svolení.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-31192: Jaydev Ahire
Safari
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Může být nesprávně přidružen původ stahování.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Aplikace může získat neoprávněný přístup k místní síti.
Popis: Problém byl vyřešen vylepšením kontroly oprávnění.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt a Mathy Vanhoef (@vanhoefm) a Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Návštěva webu může vést k úniku citlivých dat.
Popis: Problém s importem skriptů byl vyřešen vylepšením izolace.
CVE-2025-24192: Vsevolod Kokorin (Slonser) ze společnosti Solidlab
WebKit
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong a anonymní výzkumník
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker z týmu ParagonERP
WebKit
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) a anonymní výzkumník
WebKit
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Načtení škodlivého prvku iframe může vést k útoku skriptováním mezi weby.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) a Kalimantan Utara
WebKit
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
K dispozici pro: macOS Ventura a macOS Sonoma
Dopad: Škodlivému webu se může podařit sledovat uživatele Safari, kteří mají zapnuté anonymní prohlížení.
Popis: Problém byl vyřešen vylepšením správy stavů.
WebKit Bugzilla: 286580
CVE-2025-30425: anonymní výzkumník
Další poděkování
Safari
Poděkování za pomoc zaslouží George Bafaloukas (george.bafaloukas@pingidentity.com) a Shri Hunashikatti (sshpro9@gmail.com).
Safari Downloads
Poděkování za pomoc zaslouží Koh M. Nakagawa (@tsunek0h) ze společnosti FFRI Security, Inc.
Safari Extensions
Poděkování za pomoc zaslouží Alisha Ukani, Pete Snyder, Alex C. Snoeren.
Safari Private Browsing
Poděkování za pomoc zaslouží Charlie Robinson.
WebKit
Poděkování za pomoc zaslouží Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) a Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang a Daoyuan Wu z HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) z VXRL, Wong Wai Kin, Dongwei Xiao a Shuai Wang z HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) z VXRL., Xiangwei Zhang z Tencent Security YUNDING LAB, 냥냥, a anonymní výzkumník.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.