Safari 18.6のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年7月30日リリース
対象:macOS VenturaおよびmacOS Sonoma
影響:ファイルを処理すると、メモリが破損する可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-7425:Google Project ZeroのSergei Glazunov氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-7424:Google Project ZeroのIvan Fratric氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-24188:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、ユニバーサルクロスサイトスクリプティング攻撃につながるおそれがある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:285927
CVE-2025-43229:FingerprintのMartin Bajanik氏、Ammar Askar氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意のあるWebサイトにアクセスすると、アドレスバーを偽装される可能性がある。
説明:UIを改善することで、この問題を解決しました。
WebKit Bugzilla:294374
CVE-2025-43228:Jaydev Ahire氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、ユーザの機微情報が漏洩する可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:292888
CVE-2025-43227:Gilad Moav氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:291742
CVE-2025-31278:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
WebKit Bugzilla:291745
CVE-2025-31277:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
WebKit Bugzilla:293579
CVE-2025-31273:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
対象:macOS VenturaおよびmacOS Sonoma
影響:ダウンロードのオリジンが間違って関連付けられる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
WebKit Bugzilla:293994
CVE-2025-43240:Syarif Muhammad Sajjad氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:292599
CVE-2025-43214:Trend Micro Zero Day Initiativeに協力するshandikri氏、Google V8 Security Team
WebKit Bugzilla:292621
CVE-2025-43213:Google V8 Security Team
WebKit Bugzilla:293197
CVE-2025-43212:Nan Wang氏(@eternalsakura13)およびZiling Chen氏
対象:macOS VenturaおよびmacOS Sonoma
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:293730
CVE-2025-43211:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、アプリの内部の状態情報が漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
WebKit Bugzilla:294182
CVE-2025-43265:DEVCORE Research TeamのHexRabbit氏(@h3xr4bb1t)
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:295382
CVE-2025-43216:Ignacio Sanmillan氏(@ulexec)
対象:macOS VenturaおよびmacOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
WebKit Bugzilla:296459
CVE-2025-6558:GoogleのThreat Analysis GroupのClément Lecigne氏およびVlad Stolyarov氏
Google Project ZeroのSergei Glazunov氏のご協力に感謝いたします。
Google Project ZeroのIvan Fratric氏のご協力に感謝いたします。
Ameen Basha M K氏のご協力に感謝いたします。
Google V8 Security Team、Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏、rheza氏(@ginggilBesel)のご協力に感謝いたします。