Tietoja Safari 26.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan Safari 26.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
Safari 26.2
Julkaistu 12.12.2025
Safari
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: tiedoston URL-osoitteen kautta avattu verkkosisältö saattoi pystyä käyttämään verkko-API-rajapintoja, joiden olisi pitänyt olla estettyjä, Macissa, jossa oli sulkutila päällä.
Kuvaus: ongelma on ratkaistu parantamalla URL-osoitteiden tarkistusta.
CVE-2025-43526: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
Safari Downloads
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: latauksen alkuperä saatettiin liittää virheellisesti.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-8906: @retsew0x01
WebKit
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
WebKit Bugzilla: 295941
CVE-2025-46282: Wojciech Regula (SecuRing, wojciechregula.blog)
WebKit
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
WebKit Bugzilla: 301257
CVE-2025-43541: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
WebKit
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 301726
CVE-2025-43536: Nan Wang (@eternalsakura13)
WebKit
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 300774
CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)
Kohta päivitetty 17.12.2025
WebKit
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 301371
CVE-2025-43501: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
WebKit
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo (Epic Games)
WebKit
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan iOS 26 -versiota edeltävissä iOS-versioissa. Vastauksena tähän raporttiin on julkaistu myös CVE-2025-14174.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 302502
CVE-2025-43529: Google Threat Analysis Group
WebKit
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan iOS 26 -versiota edeltävissä iOS-versioissa. Vastauksena tähän raporttiin on julkaistu myös CVE-2025-43529.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
WebKit Bugzilla: 303614
CVE-2025-14174: Apple ja Google Threat Analysis Group
WebKit Web Inspector
Saatavuus: macOS Sonoma ja macOS Sequoia
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 300926
CVE-2025-43511: 이동하 (Lee Dong Ha, BoB 14th)
Kiitokset
Safari
Haluamme kiittää avusta Mochammad Nosa Shandy Prastyota.
WebKit
Haluamme kiittää avusta Geva Nurgandi Syahputraa (gevakun).
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.