A Safari 18.4 biztonsági változásjegyzéke

Ez a dokumentum a Safari 18.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Safari 18.4

Authentication Services

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordulhatott, hogy egy rosszindulatú webhely képes volt WebAuthn hitelesítő adatokat igényelni egy másol webhelytől, amely regisztrálható utótagot oszt meg.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-24180: Martin Kreichgauer (Google Chrome)

Safari

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Egyes webhelyek megkerülhetik a Same Origin szabályzatot.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-24113: @RenwaX23

Safari

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30467: @RenwaX23

Safari

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: A webhelyek adott esetben felhasználói jóváhagyás nélkül is hozzá tudtak férni az érzékelő adataihoz.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31192: Jaydev Ahire

Safari

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24167: Syarif Muhammad Sajjad

Web Extensions

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a helyi hálózathoz.

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt és Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen, DistriNet, KU Leuven)

Web Extensions

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Hatékonyabb elkülönítéssel hárítottunk el egy szkriptimportálási hibát.

CVE-2025-24192: Vsevolod Kokorin (Slonser, Solidlab)

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24264: Gary Kwong és egy anonim kutató

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2025-24209: Francisco Alonso (@revskills) és egy anonim kutató

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Egy rosszindulatú iframe betöltése webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) és Kalimantan Utara

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30425: anonim kutató

További köszönetnyilvánítás

Safari

Köszönjük George Bafaloukas (george.bafaloukas@pingidentity.com) és Shri Hunashikatti (sshpro9@gmail.com) segítségét.

Safari Downloads

Köszönjük Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.) segítségét.

Safari Extensions

Köszönjük Alisha Ukani, Pete Snyder és Alex C. Snoeren segítségét.

Safari Private Browsing

Köszönjük Charlie Robinson segítségét.

WebKit

Köszönjük Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer); Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang és Daoyuan Wu (HKUST Cybersecurity Lab); Anthony Lai (@darkfloyd1014, VXRL), Wong Wai Kin, Dongwei Xiao és Shuai Wang (HKUST Cybersecurity Lab); Anthony Lai (@darkfloyd1014, VXRL.), Xiangwei Zhang (Tencent Security YUNDING LAB), 냥냥 és egy anonim kutató segítségét.