Safari 26.3のセキュリティコンテンツについて

Safari 26.3のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

Safari 26.3

CFNetwork

対象：macOS SonomaおよびmacOS Sequoia

影響：リモートユーザが任意のファイルを書き込める可能性がある。

説明：ロジックを改善することで、パスの処理における脆弱性に対処しました。

CVE-2026-20660：Amy氏（amys.website）

Safari

対象：macOS SonomaおよびmacOS Sequoia

影響：アプリがユーザのSafariの履歴にアクセスできる可能性がある。

説明：検証を強化し、ロジックの脆弱性に対処しました。

CVE-2026-20656：Mickey Jin氏（@patch1t）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：リモートの攻撃者からサービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-20652：Nathaniel Oh氏（@calysteon）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2026-20608：TSDubheのHanQing氏、Nan Wang氏（@eternalsakura13）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：WebサイトがSafariのWeb機能拡張を使ってユーザを追跡できる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2026-20676：Tom Van Goethem氏

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-20644：TSDubheのHanQing氏、Nan Wang氏（@eternalsakura13）

CVE-2026-20636：EntryHi氏

CVE-2026-20635：EntryHi氏

ご協力いただいたその他の方々

WebKit

David Wood氏、EntryHi氏、Aisle ResearchのLuigino Camastra氏、Aisle ResearchのStanislav Fort氏、SolidlabのVsevolod Kokorin (Slonser)氏、Jorian Woltjer氏のご協力に感謝いたします。