Safari 26.2のセキュリティコンテンツについて

Safari 26.2のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

Safari 26.2

Safari

対象：macOS SonomaおよびmacOS Sequoia

影響：ロックダウンモードが有効になっているMacで、ファイルのURLから開いたWebコンテンツが、制限対象のWeb APIを使用できる可能性がある。

説明：この問題は、URLの検証を強化することで解決されました。

CVE-2025-43526：Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏

Safari Downloads

対象：macOS SonomaおよびmacOS Sequoia

影響：ダウンロードのオリジンが間違って関連付けられる可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2024-8906：@retsew0x01氏

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：アクセス権のチェックを追加で設けることで、この問題に対処しました。

CVE-2025-46282：SecuRingのWojciech Regula氏（wojciechregula.blog）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。

説明：ステート処理を強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2025-43541：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-43536：Nan Wang氏（@eternalsakura13）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-43535：Google Big Sleep、Nan Wang氏（@eternalsakura13）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2025-43501：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：ステート処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2025-43531：Epic GamesのPhil Pizlo氏

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、任意のコードを実行される可能性がある。Appleは、iOS 26以前のiOSバージョンで、標的となった特定の個人に対するきわめて巧妙な攻撃により、この脆弱性が悪用された可能性があるという報告を把握しています。CVE-2025-14174もまた、この報告を受けて発行されました。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-43529：Google Threat Analysis Group

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。Appleは、iOS 26以前のiOSバージョンで、標的となった特定の個人に対するきわめて巧妙な攻撃により、この脆弱性が悪用された可能性があるという報告を把握しています。CVE-2025-43529もまた、この報告を受けて発行されました。

説明：検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2025-14174：AppleおよびGoogleのThreat Analysis Group

WebKit Web Inspector

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-43511：BoB 14thの이동하（Lee Dong Ha）氏

ご協力いただいたその他の方々

Safari

Mochammad Nosa Shandy Prastyo氏のご協力に感謝いたします。

WebKit

Geva Nurgandi Syahputra氏（gevakun）のご協力に感謝いたします。