À propos des correctifs de sécurité de Safari 18.6

Ce document décrit les correctifs de sécurité de Safari 18.6.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.

Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

Safari 18.6

libxml2

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un fichier pourrait entraîner une corruption de la mémoire.

Description : une vulnérabilité est présente dans le code open source et les logiciels Apple font partie des projets concernés. La référence CVE a été attribuée par un tiers. Consultez le site cve.org pour en savoir plus sur le problème et la référence CVE à l’adresse cve.org.

CVE-2025-7425 : Sergei Glazunov de Google Project Zero

libxslt

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant pourrait entraîner une corruption de la mémoire.

Description : une vulnérabilité est présente dans le code open source et les logiciels Apple font partie des projets concernés. La référence CVE a été attribuée par un tiers. Consultez le site cve.org pour en savoir plus sur le problème et la référence CVE.

CVE-2025-7424 : Ivan Fratric de Google Project Zero

Safari

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : un problème de logique a été résolu par la réalisation de meilleures vérifications.

CVE-2025-24188 : Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement de contenu web malveillant peut provoquer une injection de code indirect universel

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2025-43229 : Martin Bajanik de Fingerprint, Ammar Askar

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : la consultation d’un site web malveillant pourrait entraîner une utilisation détournée de la barre d’adresse.

Description : le problème a été résolu par l’amélioration de l’interface utilisateur.

CVE-2025-43228 : Jaydev Ahire

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant pourrait entraîner la divulgation d’informations sensibles de l’utilisateur.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2025-43227 : Gilad Moav

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant pourrait entraîner une corruption de la mémoire.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-31278 : Yuhao Hu, Yan Kang, Chenggang Wu et Xiaojie Wei

CVE-2025-31277 : Yuhao Hu, Yan Kang, Chenggang Wu et Xiaojie Wei

CVE-2025-31273 : Yuhao Hu, Yan Kang, Chenggang Wu et Xiaojie Wei

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : l’origine d’un téléchargement n’est peut-être pas correctement associée.

Description : un problème de logique a été résolu par la réalisation de meilleures vérifications.

CVE-2025-43240 : Syarif Muhammad Sajjad

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43214 : shandikri en collaboration avec le programme Zero Day Initiative de Trend Micro, Google V8 Security Team

CVE-2025-43213 : Google V8 Security Team

CVE-2025-43212 : Nan Wang (@eternalsakura13) et Ziling Chen

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web pourrait être à l’origine d’un déni de service.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43211 : Yuhao Hu, Yan Kang, Chenggang Wu et Xiaojie Wei

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation des états internes de l’app.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2025-43265 : HexRabbit (@h3xr4bb1t) de l’équipe de recherche DEVCORE

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : un problème d’utilisation ultérieure libre a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43216 : Ignacio Sanmillan (@ulexec)

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : une vulnérabilité est présente dans le code open source et les logiciels Apple font partie des projets concernés. La référence CVE a été attribuée par un tiers. Consultez le site cve.org pour en savoir plus sur le problème et la référence CVE à l’adresse cve.org.

CVE-2025-6558 : Clément Lecigne et Vlad Stolyarov du Threat Analysis Group de Google

Remerciements supplémentaires

libxml2

Nous tenons à remercier Sergei Glazunov de Google Project Zero pour son aide.

libxslt

Nous tenons à remercier Ivan Fratric de Google Project Zero pour son aide.

Safari

Nous tenons à remercier Ameen Basha M K pour son aide.

WebKit

Nous tenons à remercier la Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei et rheza (@ginggilBesel) pour leur aide.