Om sikkerhedsindholdet i Safari 18.4
I dette dokument beskrives sikkerhedsindholdet i Safari 18.4.
Om Apple-sikkerhedsopdateringer
Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
Safari 18.4
Udgivet 31. marts 2025
Authentication Services
Fås til: macOS Ventura og macOS Sonoma
Effekt: Et skadeligt websted kan muligvis hente WebAuthn-loginoplysninger fra et andet websted, der deler et suffiks, som kan registreres
Beskrivelse: Problemet er løst via forbedret validering af input.
CVE-2025-24180: Martin Kreichgauer fra Google Chrome
Safari
Fås til: macOS Ventura og macOS Sonoma
Effekt: Et websted kan muligvis omgå politikken om samme oprindelse
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Post tilføjet 28. maj 2025
Safari
Fås til: macOS Ventura og macOS Sonoma
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.
CVE-2025-24113: @RenwaX23
Safari
Fås til: macOS Ventura og macOS Sonoma
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-30467: @RenwaX23
Safari
Fås til: macOS Ventura og macOS Sonoma
Effekt: Et websted kan være i stand til at tilgå sensoroplysninger uden brugerens tilladelse
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-31192: Jaydev Ahire
Safari
Fås til: macOS Ventura og macOS Sonoma
Effekt: En overførsels oprindelse er muligvis forkert tilknyttet
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
Fås til: macOS Ventura og macOS Sonoma
Effekt: En app kan muligvis få uautoriseret adgang til lokalnetværk
Beskrivelse: Problemet er løst ved forbedret kontrol af tilladelser.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) og Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Fås til: macOS Ventura og macOS Sonoma
Effekt: Et besøg på et websted kan medføre afsløring af følsomme data
Beskrivelse: Et problem med import af scripts er løst via forbedret isolering.
CVE-2025-24192: Vsevolod Kokorin (Slonser) fra Solidlab
WebKit
Fås til: macOS Ventura og macOS Sonoma
Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong og en anonym programmør
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker fra ParagonERP
WebKit
Fås til: macOS Ventura og macOS Sonoma
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) og en anonym programmør
WebKit
Fås til: macOS Ventura og macOS Sonoma
Effekt: Indlæsning af en skadelig iframe kan muligvis føre til scripting-angreb på tværs af websteder
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) og Kalimantan Utara
WebKit
Fås til: macOS Ventura og macOS Sonoma
Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari
Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Fås til: macOS Ventura og macOS Sonoma
Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari
Beskrivelse: Problemet er løst via forbedret statusadministration.
WebKit Bugzilla: 286580
CVE-2025-30425: en anonym programmør
Yderligere anerkendelser
Safari
Vi vil gerne takke George Bafaloukas (george.bafaloukas@pingidentity.com) og Shri Hunashikatti (sshpro9@gmail.com) for hjælpen.
Safari Downloads
Vi vil gerne takke Koh M. Nakagawa (@tsunek0h) fra FFRI Security, Inc. for hjælpen.
Safari Extensions
Vi vil gerne takke Alisha Ukani, Pete Snyder, Alex C. Snoeren for hjælpen.
Safari Private Browsing
Vi vil gerne takke Charlie Robinson for hjælpen.
WebKit
Vi vil gerne takke Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) og Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang og Daoyuan Wu fra HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) fra VXRL, Wong Wai Kin, Dongwei Xiao og Shuai Wang fra HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) fra VXRL., Xiangwei Zhang fra Tencent Security YUNDING LAB, 냥냥 og en anonym programmør for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.