Acerca del contenido de seguridad de Safari 18.4

En este documento se describe el contenido de seguridad de Safari 18.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

Safari 18.4

Authentication Services

Disponible para: macOS Ventura y macOS Sonoma

Impacto: un sitio web creado con fines malintencionados podría reclamar credenciales de WebAuthn de otro sitio web que comparta un sufijo registrable.

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2025-24180: Martin Kreichgauer de Google Chrome

Safari

Disponible para: macOS Ventura y macOS Sonoma

Impacto: un sitio web puede eludir la política del mismo origen.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Disponible para: macOS Ventura y macOS Sonoma

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

Descripción: se ha solucionado el problema mediante la mejora de la interfaz de usuario.

CVE-2025-24113: @RenwaX23

Safari

Disponible para: macOS Ventura y macOS Sonoma

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-30467: @RenwaX23

Safari

Disponible para: macOS Ventura y macOS Sonoma

Impacto: un sitio web podría acceder a la información de los sensores sin consentimiento del usuario

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-31192: Jaydev Ahire

Safari

Disponible para: macOS Ventura y macOS Sonoma

Impacto: el origen de una descarga podría no asociarse correctamente

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-24167: Syarif Muhammad Sajjad

Web Extensions

Disponible para: macOS Ventura y macOS Sonoma

Impacto: una aplicación podría obtener acceso no autorizado a la red local.

Descripción: se ha solucionado el problema mejorando la comprobación de los permisos.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) y Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Disponible para: macOS Ventura y macOS Sonoma

Impacto: al visitar un sitio web podría filtrarse información sensible.

Descripción: se ha solucionado un problema de importación de scripts mejorando el aislamiento.

CVE-2025-24192: Vsevolod Kokorin (Slonser) de Solidlab

WebKit

Disponible para: macOS Ventura y macOS Sonoma

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24264: Gary Kwong y un investigador anónimo

CVE-2025-24216: Paul Bakker de ParagonERP

WebKit

Disponible para: macOS Ventura y macOS Sonoma

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2025-24209: Francisco Alonso (@revskills) y un investigador anónimo

WebKit

Disponible para: macOS Ventura y macOS Sonoma

Impacto: cargar un iframe malicioso puede resultar en un ataque de scripts entre sitios

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) y Kalimantan Utara

WebKit

Disponible para: macOS Ventura y macOS Sonoma

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Disponible para: macOS Ventura y macOS Sonoma

Impacto: un sitio web malintencionado podía rastrear a los usuarios dentro del modo de navegación privada de Safari

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-30425: an anonymous researcher

Otros agradecimientos

Safari

Queremos dar las gracias a George Bafaloukas (george.bafaloukas@pingidentity.com) y Shri Hunashikatti (sshpro9@gmail.com) por su ayuda.

Safari Downloads

Queremos dar las gracias a Koh M. Nakagawa (@tsunek0h) de FFRI Security, Inc. por su ayuda.

Safari Extensions

Queremos dar las gracias a Alisha Ukani, Pete Snyder y Alex C. Snoeren por su ayuda.

Safari Private Browsing

Queremos dar las gracias a Charlie Robinson por su ayuda.

WebKit

Queremos dar las gracias a Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) y Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang y Daoyuan Wu de HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) de VXRL, Wong Wai Kin, Dongwei Xiao y Shuai Wang de HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) de VXRL., Xiangwei Zhang de Tencent Security YUNDING LAB, 냥냥 y a un investigador anónimo por su ayuda.