À propos des correctifs de sécurité de Safari 26.4

Ce document décrit les correctifs de sécurité de Safari 26.4.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

Safari 26.4

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : le traitement de contenus web malveillants est susceptible d’empêcher l’application de la politique de sécurité du contenu.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-20665 : webb

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : le traitement d’un contenu web malveillant pourrait contourner la politique de même origine.

Description : un problème lié à l’interopérabilité entre origines dans l’API Navigation a été résolu grâce à une amélioration de la validation des données saisies.

CVE-2026-20643 : Thomas Espach

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : la consultation d’un site web malveillant peut entraîner une attaque par exécution de scripts intersites.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2026-28871 : @hamayanhamayan

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20664 : Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky, Switch et Yevhen Pervushyn

CVE-2026-28857 : Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea et Nathaniel Oh (@calysteon)

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : un site Web malveillant pourrait accéder aux gestionnaires de messages de script destinés à d’autres origines.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2026-28861 : Hongze Wu et Shuaike Dong d’Ant Group Infrastructure Security Team

WebKit

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : un site Web malveillant pourrait être en mesure de traiter du contenu Web soumis à des restrictions à l’extérieur du bac à sable.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28859 : greenbynox et Arni Hardarson

WebKit Sandboxing

Disponible pour : macOS Sonoma et macOS Sequoia

Conséquence : une page web malicieusement conçue peut permettre de prendre l’empreinte de l’utilisateur.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-20691 : Gongyu Ma (@Mezone0)

Remerciements supplémentaires

Safari

Nous tenons à remercier @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad et Yair pour leur aide.

Web Extensions

Nous tenons à remercier Carlos Jeurissen et Rob Wu (robwu.nl) pour leur aide.

WebKit

Nous tenons à remercier Vamshi Paili pour son aide.

WebKit Process Model

Nous tenons à remercier Joseph Semaan pour son aide.