À propos des correctifs de sécurité de Safari 18.4

Ce document décrit les correctifs de sécurité de Safari 18.4.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

Safari 18.4

Authentication Services

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : un site Web malveillant peut être en mesure de récupérer les identifiants WebAuthn d’un autre site Web partageant un suffixe enregistrable.

Description : le problème a été résolu par une meilleure validation de l’entrée.

CVE-2025-24180 : Martin Kreichgauer de Google Chrome

Safari

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : un site Web peut être en mesure de contourner la même politique d’origine

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2025-30466 : Jaydev Ahire et @RenwaX23

Safari

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.

Description : ce problème a été résolu par une meilleure gestion de l’interface utilisateur.

CVE-2025-24113 : @RenwaX23

Safari

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de la barre d’adresse.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2025-30467 : @RenwaX23

Safari

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : un site web peut accéder aux informations du capteur sans le consentement de l’utilisateur

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2025-31192 : Jaydev Ahire

Safari

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : l’origine d’un téléchargement peut être associée de façon incorrecte.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2025-24167 : Syarif Muhammad Sajjad

Web Extensions

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : une app peut obtenir un accès non autorisé au réseau local.

Description : ce problème a été résolu par une meilleure vérification des autorisations.

CVE-2025-31184 : Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt et Mathy Vanhoef (@vanhoefm) ainsi que Jeroen Robben (@RobbenJeroen) et DistriNet, KU Leuven

Web Extensions

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : la consultation d’un site web peut entraîner la fuite de données confidentielles.

Description : un problème d’importation de scripts a été résolu grâce à une amélioration de l’isolation.

CVE-2025-24192 : Vsevolod Kokorin (Slonser) de Solidlab

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-24264 : Gary Kwong et un chercheur anonyme

CVE-2025-24216 : Paul Bakker de ParagonERP

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.

CVE-2025-24209 : Francisco Alonso (@revskills), et un chercheur anonyme

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le chargement d’un iframe malveillant peut entraîner une attaque par injection de script intersite.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2025-24208 : Muhammad Zaid Ghifari (Mr.ZheeV) et Kalimantan Utara

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2025-30427 : rheza (@ginggilBesel)

WebKit

Disponible pour : macOS Ventura et macOS Sonoma

Conséquence : un site web malveillant est susceptible de traquer les utilisateurs de Safari en mode de navigation privée

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2025-30425 : un chercheur anonyme

Remerciements supplémentaires

Safari

Nous tenons à remercier George Bafaloukas (george.bafaloukas@pingidentity.com) et Shri Hunashikatti (sshpro9@gmail.com) pour leur aide.

Safari Downloads

Nous tenons à remercier Koh M. Nakagawa (@tsunek0h) de FFRI Security, Inc. pour son aide.

Safari Extensions

Nous tenons à remercier Alisha Ukani, Pete Snyder et Alex C. Snoeren pour leur aide.

Safari Private Browsing

Nous tenons à remercier Charlie Robinson pour son aide.

WebKit

Nous tenons à remercier Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) et Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang et Daoyuan Wu de HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) de VXRL, Wong Wai Kin, Dongwei Xiao et Shuai Wang de HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) de VXRL., Xiangwei Zhang de Tencent Security YUNDING LAB, 냥냥, et un chercheur anonyme pour leur aide.