À propos des correctifs de sécurité de Safari 26.4

Ce document décrit les correctifs de sécurité de Safari 26.4.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.

Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

Safari 26.4

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : le traitement de contenu web malveillant pourrait empêcher l’application de la politique de sécurité du contenu.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-20665 : webb

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : le traitement d’un contenu web malveillant peut contourner la politique de même origine.

Description : un problème d’origines multiples dans l’API Navigation a été résolu par une meilleure validation des entrées.

CVE-2026-20643 : Thomas Espach

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : la consultation d’un site web malveillant peut entraîner une attaque d’injection de code indirect.

Description : un problème de logique a été résolu par la réalisation de meilleures vérifications.

CVE-2026-28871 : @hamayanhamayan

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20664 : Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857 : Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : un site web malveillant pourrait accéder à des gestionnaires de messages de script destinés à d’autres origines.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2026-28861 : Hongze Wu et Shuaike Dong d’Ant Group Infrastructure Security Team

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : un site web malveillant pourrait traiter du contenu web restreint en dehors de la sandbox.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28859 : greenbynox, Arni Hardarson

WebKit Sandboxing

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : une page web malveillante pourrait être en mesure de créer une représentation unique de l’utilisateur.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-20691 : Gongyu Ma (@Mezone0)

Remerciements supplémentaires

Safari

Nous tenons à remercier @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair pour leur aide.

Web Extensions

Nous tenons à remercier Carlos Jeurissen, Rob Wu (robwu.nl) pour leur aide.

WebKit

Nous tenons à remercier Vamshi Paili pour son aide.

WebKit Process Model

Nous tenons à remercier Joseph Semaan pour son aide.