A Safari 18.4 biztonsági változásjegyzéke
Ez a dokumentum a Safari 18.4 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Safari 18.4
Kiadás dátuma: 2025. március 31.
Authentication Services
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Előfordulhatott, hogy egy rosszindulatú webhely képes volt WebAuthn hitelesítő adatokat igényelni egy másol webhelytől, amely regisztrálható utótagot oszt meg.
Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.
CVE-2025-24180: Martin Kreichgauer (Google Chrome)
Safari
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Egyes webhelyek megkerülhetik a Same Origin szabályzatot.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Bejegyzés dátuma: 2025. május 28.
Safari
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület
Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.
CVE-2025-24113: @RenwaX23
Safari
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-30467: @RenwaX23
Safari
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: A webhelyek adott esetben felhasználói jóváhagyás nélkül is hozzá tudtak férni az érzékelő adataihoz.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-31192: Jaydev Ahire
Safari
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a helyi hálózathoz.
Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt és Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen, DistriNet, KU Leuven)
Web Extensions
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Előfordult, hogy webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.
Leírás: Hatékonyabb elkülönítéssel hárítottunk el egy szkriptimportálási hibát.
CVE-2025-24192: Vsevolod Kokorin (Slonser, Solidlab)
WebKit
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong és egy anonim kutató
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker (ParagonERP)
WebKit
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) és egy anonim kutató
WebKit
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Egy rosszindulatú iframe betöltése webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) és Kalimantan Utara
WebKit
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
A következőkhöz érhető el: macOS Ventura és macOS Sonoma.
Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
WebKit Bugzilla: 286580
CVE-2025-30425: anonim kutató
További köszönetnyilvánítás
Safari
Köszönjük George Bafaloukas (george.bafaloukas@pingidentity.com) és Shri Hunashikatti (sshpro9@gmail.com) segítségét.
Safari Downloads
Köszönjük Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.) segítségét.
Safari Extensions
Köszönjük Alisha Ukani, Pete Snyder és Alex C. Snoeren segítségét.
Safari Private Browsing
Köszönjük Charlie Robinson segítségét.
WebKit
Köszönjük Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer); Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang és Daoyuan Wu (HKUST Cybersecurity Lab); Anthony Lai (@darkfloyd1014, VXRL), Wong Wai Kin, Dongwei Xiao és Shuai Wang (HKUST Cybersecurity Lab); Anthony Lai (@darkfloyd1014, VXRL.), Xiangwei Zhang (Tencent Security YUNDING LAB), 냥냥 és egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.