Safari 18.4のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年3月31日リリース
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意のあるWebサイトが、登録可能な接頭辞を共有する別のWebサイトからWebAuthnの資格情報を要求できる可能性がある。
説明:入力検証を強化することで、この問題に対処しました。
CVE-2025-24180:Google ChromeのMartin Kreichgauer氏
対象:macOS VenturaおよびmacOS Sonoma
影響:Webサイトが同一生成元ポリシーを回避できる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-30466:Jaydev Ahire氏、@RenwaX23氏
2025年5月28日に追加
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意のあるWebサイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。
説明:UIを改善することで、この問題を解決しました。
CVE-2025-24113:@RenwaX23氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意のあるWebサイトにアクセスすると、アドレスバーを偽装される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-30467:@RenwaX23氏
対象:macOS VenturaおよびmacOS Sonoma
影響:Webサイトがユーザの同意なくセンサー情報にアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-31192:Jaydev Ahire氏
対象:macOS VenturaおよびmacOS Sonoma
影響:ダウンロードのオリジンが間違って関連付けられる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-24167:Syarif Muhammad Sajjad氏
対象:macOS VenturaおよびmacOS Sonoma
影響:アプリがローカルネットワークに不正アクセスできる可能性がある。
説明:この問題は、アクセス権のチェック機能を強化することで解決されました。
CVE-2025-31184:Alexander Heinrich氏(@Sn0wfreeze)、SEEMOO氏、TU Darmstadt氏、Mathy Vanhoef氏(@vanhoefm)、およびJeroen Robben氏(@RobbenJeroen)、DistriNet、ルーヴェン大学
対象:macOS VenturaおよびmacOS Sonoma
影響:Webサイトにアクセスすると、重要なデータが漏洩する可能性がある。
説明:分離を改善することでスクリプト読み込みの問題に対処しました。
CVE-2025-24192:SolidlabのVsevolod Kokorin氏(Slonser)
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:285892
CVE-2025-24264:Gary Kwong氏、および匿名の研究者
WebKit Bugzilla:284055
CVE-2025-24216:ParagonERPのPaul Bakker氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。
WebKit Bugzilla:286462
CVE-2025-24209:Francisco Alonso氏(@revskills)、および匿名の研究者
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意のあるiframeを読み込むと、クロスサイトスクリプティングが発生する可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
WebKit Bugzilla:286381
CVE-2025-24208:Muhammad Zaid Ghifari氏(ZheeV氏)およびKalimantan Utara氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:285643
CVE-2025-30427:rheza氏(@ginggilBesel)
対象:macOS VenturaおよびmacOS Sonoma
影響:Safariのプライベートブラウズモードで、悪意のあるWebサイトによってユーザが追跡される可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:286580
CVE-2025-30425:匿名の研究者
George Bafaloukas氏(george.bafaloukas@pingidentity.com)およびShri Hunashikatti氏(sshpro9@gmail.com)のご協力に感謝いたします。
FFRI Security, Inc.のKoh M. Nakagawa氏(@tsunek0h)のご協力に感謝いたします。
Alisha Ukani氏、Pete Snyder氏、Alex C. Snoeren氏のご協力に感謝いたします。
Charlie Robinson氏のご協力に感謝いたします。
Gary Kwong氏、Jesse Stolwijk氏、Junsung Lee氏、P1umer氏(@p1umer)およびQ1IQ氏(@q1iqF)、Wai Kin Wong氏、Dongwei Xiao氏、HKUST Cybersecurity LabのShuai Wang氏およびDaoyuan Wu氏、VXRLのAnthony Lai氏(@darkfloyd1014)、Wong Wai Kin氏、HKUST Cybersecurity LabのDongwei Xiaoおよび氏Shuai Wang氏、VXRL.のAnthony Lai氏(@darkfloyd1014)、Tencent Security YUNDING LABのXiangwei Zhang氏、냥냥氏、および匿名の研究者のご協力に感謝いたします。