Tietoja Safari 18.4:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan Safari 18.4:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
Safari 18.4
Julkaistu 31.3.2025
Authentication Services
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: haitallinen verkkosivusto saattoi pystyä hakemaan WebAuthn-kirjautumistiedot toiselta verkkosivustolta, jolla on sama rekisteröitävä jälkiliite.
Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2025-24180: Martin Kreichgauer (Google Chrome)
Safari
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: verkkosivusto saattoi pystyä ohittamaan saman alkuperän käytännön.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Kohta lisätty 28.5.2025
Safari
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.
CVE-2025-24113: @RenwaX23
Safari
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-30467: @RenwaX23
Safari
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: Verkkosivusto saattoi pystyä käyttämään tunnistintietoja ilman käyttäjän lupaa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-31192: Jaydev Ahire
Safari
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: latauksen alkuperä saatettiin liittää virheellisesti.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: appi saattoi saada pääsyn lähiverkkoon luvattomasti.
Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze, SEEMOO, TU Darmstadt), Mathy Vanhoef (@vanhoefm) ja Jeroen Robben (@RobbenJeroen, DistriNet, KU Leuven)
Web Extensions
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.
Kuvaus: komentosarjan tuontiongelma on ratkaistu parantamalla eristystä.
CVE-2025-24192: Vsevolod Kokorin (Slonser, Solidlab)
WebKit
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong ja nimetön tutkija
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker (ParagonERP)
WebKit
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) ja nimetön tutkija
WebKit
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: haitallisen iframen lataaminen saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) ja Kalimantan Utara
WebKit
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Saatavuus: macOS Ventura ja macOS Sonoma
Vaikutus: haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 286580
CVE-2025-30425: nimetön tutkija
Kiitokset
Safari
Haluamme kiittää avusta George Bafaloukasia (george.bafaloukas@pingidentity.com) ja Shri Hunashikattia (sshpro9@gmail.com).
Safari Downloads
Haluamme kiittää avusta Koh M. Nakagawaa (@tsunek0h, FFRI Security, Inc.).
Safari Extensions
Haluamme kiittää avusta Alisha Ukania, Pete Snyderia ja Alex C. Snoerenia.
Safari Private Browsing
Haluamme kiittää avusta Charlie Robinsonia.
WebKit
Haluamme kiittää avusta Gary Kwongia, Jesse Stolwijkia, Junsung Leetä, P1umeria (@p1umer) ja Q1IQ:ta (@q1iqF), Wai Kin Wongia, Dongwei Xiaota, Shuai Wangia ja Daoyuan Wuta (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL), Wong Wai Kinia, Dongwei Xiaota ja Shuai Wangia (HKUST Cybersecurity Lab), Xiangwei Zhangia (Tencent Security YUNDING LAB, 냥냥) sekä nimetöntä tutkijaa.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.