Informacije o sigurnosnom sadržaju ažuriranja Safari 18.4
U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja Safari 18.4.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
Safari 18.4
Izdano 31. ožujka 2025.
Authentication Services
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: neko zlonamjerno web-mjesto moglo je zatražiti podatke za provjeru autentičnosti WebAuthn s nekog drugog web-mjesta s istim nastavkom koji se može registrirati
Opis: problem je riješen poboljšanom provjerom ulaznih podataka.
CVE-2025-24180: Martin Kreichgauer (Google Chrome)
Safari
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: web-mjesto može zaobići pravilo istog podrijetla
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Unos je dodan 28. svibnja 2025.
Safari
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: problem je riješen poboljšanim korisničkim sučeljem.
CVE-2025-24113: @RenwaX23
Safari
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: problem je riješen poboljšanim provjerama.
CVE-2025-30467: @RenwaX23
Safari
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: web-mjesto može pristupiti podacima senzora bez pristanka korisnika
Opis: problem je riješen poboljšanim provjerama.
CVE-2025-31192: Jaydev Ahire
Safari
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: podrijetlo preuzimanja može biti neispravno zaključeno
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: aplikacija može steći neovlašten pristup lokalnoj mreži
Opis: problem je riješen boljom provjerom dozvola.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt i Mathy Vanhoef (@vanhoefm) te Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: posjetom web-mjestu mogli su procuriti osjetljivi podaci
Opis: problem s uvozom skripti riješen je poboljšanom izolacijom.
CVE-2025-24192: Vsevolod Kokorin (Slonser) (Solidlab)
WebKit
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong i anonimni istraživač
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker (ParagonERP)
WebKit
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) i anonimni istraživač
WebKit
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: učitavanjem zlonamjernog iframe elementa moglo je doći do napada unakrsnim skriptiranjem
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) i Kalimantan Utara
WebKit
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Dostupno za: macOS Ventura i macOS Sonoma
Učinak: zlonamjerna internetska stranca može pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 286580
CVE-2025-30425: anonimni istraživač
Dodatna zahvala
Safari
Na pomoći zahvaljujemo Georgeu Bafaloukasu (george.bafaloukas@pingidentity.com) i Shriju Hunashikattiju (sshpro9@gmail.com).
Safari Downloads
Na pomoći zahvaljujemo Kohu M. Nakagawi (@tsunek0h) (FFRI Security, Inc.).
Safari Extensions
Na pomoći zahvaljujemo Alishi Ukaniju, Peteu Snyderu, Alexu C. Snoerenu.
Safari Private Browsing
Na pomoći zahvaljujemo Charlieju Robinsonu.
WebKit
Na pomoći zahvaljujemo Garyju Kwongu, Jesseu Stolwijku, Junsungu Leeju, P1umeru (@p1umer) i Q1IQ (@q1iqF), Wai Kin Wongu, Dongwei Xiaou, Shuai Wangu i Daoyuan Wuu (HKUST Cybersecurity Lab), Anthonyju Laiju (@darkfloyd1014) (VXRL), Wong Wai Kinu, Dongwei Xiaou i Shuai Wangu (HKUST Cybersecurity Lab), Anthonyju Laiju (@darkfloyd1014) (VXRL), Xiangwei Zhangu (YUNDING LAB tvrtke Tencent Security), 냥냥 i anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.