Acerca del contenido de seguridad de Safari 26.4

En este documento, se describe el contenido de seguridad de Safari 26.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

Safari 26.4

WebKit

Disponible para macOS Sonoma y macOS Sequoia

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados impida que se apliquen las políticas de seguridad del contenido.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2026-20665: webb

WebKit

Disponible para macOS Sonoma y macOS Sequoia

Impacto: El procesamiento de contenido web creado con fines malintencionados podía omitir la política del mismo origen.

Descripción: Se mejoró la validación de entradas para solucionar un problema de origen cruzado en la API de navegación.

CVE-2026-20643: Thomas Espach

WebKit

Disponible para macOS Sonoma y macOS Sequoia

Impacto: Visitar un sitio web creado con fines malintencionados podía derivar en un ataque de scripts entre sitios.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2026-28871: @hamayanhamayan

WebKit

Disponible para macOS Sonoma y macOS Sequoia

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Disponible para macOS Sonoma y macOS Sequoia

Impacto: Es posible que un sitio web creado con fines malintencionados pueda acceder a controladores de mensajes de script diseñados para otros orígenes.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2026-28861: Hongze Wu y Shuaike Dong del Equipo de Seguridad de Ant Group Infrastructure

WebKit

Disponible para macOS Sonoma y macOS Sequoia

Impacto: Es posible que un sitio web creado con fines malintencionados pueda procesar contenido web restringido fuera de zonas protegidas.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Disponible para macOS Sonoma y macOS Sequoia

Impacto: Una página web creada con fines malintencionados podía tomar la huella digital del usuario.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Otros agradecimientos

Safari

Nos gustaría darles las gracias a @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad y Yair por su ayuda.

Web Extensions

Nos gustaría darles las gracias a Carlos Jeurissen y Rob Wu (robwu.nl) por su ayuda.

WebKit

Nos gustaría darle las gracias a Vamshi Paili por su ayuda.

WebKit Process Model

Nos gustaría darle las gracias a Joseph Semaan por su ayuda.