מידע על תוכן האבטחה של Safari 26.2

מסמך זה מתאר את תוכן האבטחה של Safari 26.2.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

Safari 26.2

Safari

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: ב-Mac שמופעל בו 'מצב נעילה', תוכן מהאינטרנט שנפתח דרך כתובת URL של קובץ עשוי להיות מסוגל להשתמש בממשקי API אינטרנטיים שאמורים להיות מוגבלים

תיאור: בעיה זו טופלה באמצעות אימות משופר של כתובות URL.

CVE-2025-43526: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

Safari Downloads

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: מקור הורדה עשוי להיות משויך באופן שגוי

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-8906‏: ‎@retsew0x01

WebKit

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2025-46282: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

WebKit

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.

CVE-2025-43541: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

WebKit

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-43536: ‏Nan Wang ‏(‎@eternalsakura13)

WebKit

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43535: ‏Google Big Sleep, ‏Nan Wang ‏(‎@eternalsakura13)

WebKit

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43501: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

WebKit

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2025-43531: ‏Phil Pizlo מ-Epic Games

WebKit

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה בהתקפה מתוחכמת במיוחד כנגד אנשים ספציפיים בגרסאות iOS שקדמו ל-iOS 26. הופק גם CVE-2025-14174 בתגובה לדיווח הזה.

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-43529: ‏Google Threat Analysis Group

WebKit

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה בהתקפה מתוחכמת במיוחד כנגד אנשים ספציפיים בגרסאות iOS שקדמו ל-iOS 26. הופק גם CVE-2025-43529 בתגובה לדיווח הזה.

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2025-14174: ‏Apple ו-Google Threat Analysis Group

WebKit Web Inspector

זמין עבור: macOS Sonoma ו-macOS Sequoia

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-43511: ‏이동하 ‏(Lee Dong Ha מ-BoB 14th)

תודות נוספות

Safari

אנחנו מבקשים להודות ל-Mochammad Nosa Shandy Prastyo על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Geva Nurgandi Syahputra ‏(gevakun) על הסיוע.