A Safari 26.4 biztonsági változásjegyzéke

Ez a dokumentum a Safari 26.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Safari 26.4

WebKit

A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20665: webb

WebKit

A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy kereszteredet-problémát a Navigation API-ban.

CVE-2026-20643: Thomas Espach

WebKit

A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-28871: @hamayanhamayan

WebKit

A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20664: Yeonghyeon Choi, Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky és Switch3301, Yevhen Pervushyn

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.

Érintett terület: A rosszindulatú webhelyek bizonyos esetekben hozzáférhettek a más eredeteknek szánt szkriptüzenet-kezelőkhöz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2026-28861: Hongze Wu és Shuaike Dong (Ant Group Infrastructure Security Team) és webb

WebKit

A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.

Érintett terület: A rosszindulatú webhelyek bizonyos esetekben korlátozott webes tartalmakat dolgoztak fel a sandboxon kívül

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28859: greenbynox, Arni Hardarson és egy anonim kutató

WebKit Sandboxing

A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20691: Gongyu Ma (@Mezone0)

További köszönetnyilvánítás

Safari

Köszönjük @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad és Yair segítségét.

Web Extensions

Köszönjük Carlos Jeurissen és Rob Wu (robwu.nl) segítségét.

WebKit

Köszönjük Vamshi Paili segítségét.

WebKit Process Model

Köszönjük Joseph Semaan segítségét.