A Safari 18.6 biztonsági változásjegyzéke

Ez a dokumentum a Safari 18.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Safari 18.6

libxml2

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.

CVE-2025-7425: Sergei Glazunov (Google Project Zero)

libxslt

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-7424: Ivan Fratric (Google Project Zero)

Safari

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24188: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43229: Martin Bajanik (Fingerprint), Ammar Askar

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-43228: Jaydev Ahire

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43227: Gilad Moav

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43240: Syarif Muhammad Sajjad

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43214: shandikri (a Trend Micro Zero Day Initiative közreműködőjeként), Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) és Ziling Chen

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: A rosszindulatú webes tartalmak feldolgozásának hatására a rendszer bizonyos esetekben közzétette az alkalmazás belső állapotait.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43265: HexRabbit (@h3xr4bb1t, DEVCORE Research Team tagja)

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

A következőkhöz érhető el: macOS Ventura és macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.

CVE-2025-6558: Clément Lecigne és Vlad Stolyarov (Google Threat Analysis Group)

További köszönetnyilvánítás

libxml2

Köszönjük Sergei Glazunov (Google Project Zero) segítségét.

libxslt

Köszönjük Ivan Fratric (Google Project Zero) segítségét.

Safari

Köszönjük Ameen Basha M K segítségét.

WebKit

Köszönjük a Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei, valamint rheza (@ginggilBesel) segítségét.