Informace o bezpečnostním obsahu Safari 26.5.2
Tato aktualizace zavádí bezpečnostní opravy, které byly původně zpřístupněny v betaverzi macOS Tahoe 26.6. Tento dokument popisuje bezpečnostní obsah Safari 26.5.2.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
Safari 26.5.2
Vydáno 29. června 2026
Web Extensions
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Škodlivému webovému rozšíření se může podařit způsobit nečekaný pád procesu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 314642
CVE-2026-43704: dr3dd
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení citlivých uživatelských informací.
Popis: Problém s načítáním napříč původy byl vyřešen vylepšením sledování bezpečnostních původů.
WebKit Bugzilla: 315368
CVE-2026-43700: Vitaly Simonovich, Christian Meurer Xavier
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Škodlivý web může získat data napříč původy.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 313357
CVE-2026-43735: Merrick Hare, Drinor Selmanaj (Sentry), Khai Tran, John Lussier, Rhyru9, Kwak Kiyong, Song Nuri
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 313693
CVE-2026-43734: Jonathan Alush-Aben
WebKit Bugzilla: 313857
CVE-2026-43726: Josef Korbel (Citadelo), Tristan Madani (@TristanInSec) ze společnosti Talence Security, Gia Bui (@yabeow) z Calif.io, Narendra Singh (@_3P1C)
WebKit Bugzilla: 314398
CVE-2026-43709
WebKit Bugzilla: 317227
CVE-2026-43699: Tommy DeVoss z týmu Braze Security Team (@thedawgyg)
WebKit Bugzilla: 315161
CVE-2026-43742: Юлия Мерцалова
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení citlivých uživatelských informací.
Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.
WebKit Bugzilla: 313085
CVE-2026-43732: Nan Wang (@eternalsakura13)
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 314115
CVE-2026-43731: dr3dd
WebKit Bugzilla: 313577
CVE-2026-43715: Milad Nasr a Nicholas Carlini ve spolupráci s Claudem od Anthropicu
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 313691
CVE-2026-43727: Tommy DeVoss z týmu Braze Security Team (@thedawgyg), Gia Bui (@yabeow) z Calif.io, Gurpreet Shergill
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Škodlivému webu se může podařit zpracovat zakázaný webový obsah mimo sandbox.
Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.
WebKit Bugzilla: 312832
CVE-2026-43725: Luke Francis
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 312781
CVE-2026-43663: Soyeon Park, Amy Burnett, Khai Tran, sherkito, Kota Toda, HexRabbit (@h3xr4bb1t) a NiNi (@terrynini38514) z týmu DEVCORE Research Team, Using GLM ze Z.AI, Tristan Madani (@TristanInSec) ze společnosti Talence Security, Brian Carpenter
WebKit Bugzilla: 313528
CVE-2026-39872: Utkarsh Pal, Ignacio Sanmillan (@ulexec)
WebKit Bugzilla: 314235
CVE-2026-43712: Kwak Kiyong, Song Nuri, Tristan Madani (@TristanInSec) ze společnosti Talence Security
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 313473
CVE-2026-43716: Tuan a Duc z Calif.io, OpenAI Codex Security – Amy Burnett, Evan Lambert
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
WebKit Bugzilla: 317231
CVE-2026-43676: Mateusz Krzywicki (iVerify.io), dr3dd, Tommy DeVoss z týmu Braze Security Team (@thedawgyg)
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení procesní paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 308046
CVE-2026-43740: Nathaniel Oh (@calysteon), Arni Hardarson
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Návštěva webu může vést k úniku citlivých dat.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
WebKit Bugzilla: 314806
CVE-2026-43713: Jody Ritonga
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Škodlivý web může získat data napříč původy.
Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.
WebKit Bugzilla: 315306
CVE-2026-43708: Behzad Najjarpour Jabbari (@_G4ru_)
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 315951
CVE-2026-43707: OpenAI Codex Security – Amy Burnett
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
WebKit Bugzilla: 314528
CVE-2026-43705: dr3dd
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Škodlivému webu se může podařit zpracovat zakázaný webový obsah mimo sandbox.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 315004
CVE-2026-43701: Aaron Grattafiori – NVIDIA AI Red Team
WebKit
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
WebKit Bugzilla: 315365
CVE-2026-43745: OpenAI Codex Security – Amy Burnett, Khai Tran
WebKit Canvas
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 313175
CVE-2026-43720: Gia Bui (@yabeow) z Calif.io, Josef Korbel
WebKit Storage
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Škodlivému webu se může podařit potichu ukrást data ze schránky.
Popis: Problém byl vyřešen vylepšením správy stavů.
WebKit Bugzilla: 313478
CVE-2026-43721: Idan Masas
WebRTC
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
WebKit Bugzilla: 317324
CVE-2026-28979
WebRTC
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupů.
WebKit Bugzilla: 313350
CVE-2026-43718: Nan Wang (@eternalsakura13)
WebRTC
K dispozici pro: macOS Sonoma a macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 313351
CVE-2026-43717: Nan Wang (@eternalsakura13)
WebKit Bugzilla: 314090
CVE-2026-43746: dr3dd
Další poděkování
WebKit
Poděkování za pomoc zaslouží Henock Habte, Souta Sugiyama.
WebKit JavaScript Bindings
Poděkování za pomoc zaslouží Karan Kurani.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.