Safari 26.4のセキュリティコンテンツについて

Safari 26.4のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

Safari 26.4

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2026-20665：webb

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、同一生成元ポリシーを回避される可能性がある。

説明：入力検証を強化することで、Navigation APIのクロスオリジンの問題に対処しました。

CVE-2026-20643：Thomas Espach

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebサイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2026-28871：@hamayanhamayan氏

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-20664：Daniel Rhea氏、Söhnke Benedikt Fischedick氏（Tripton）、Emrovsky氏およびSwitch氏、Yevhen Pervushyn氏

CVE-2026-28857：Narcis Oliveras Fontàs氏、Söhnke Benedikt Fischedick氏（Tripton）、Daniel Rhea氏、Nathaniel Oh氏（@calysteon）

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意のあるWebサイトが、ほかのオリジン向けのスクリプトメッセージハンドラにアクセスできる可能性がある。

説明：ステート管理を改善し、ロジックの問題に対処しました。

CVE-2026-28861：Ant Group Infrastructure Security TeamのHongze Wu氏およびShuaike Dong氏

WebKit

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意のあるWebサイトが制限対象のWebコンテンツをサンドボックス外で処理できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-28859：greenbynox氏、Arni Hardarson氏

WebKit Sandboxing

対象：macOS SonomaおよびmacOS Sequoia

影響：悪意を持って作成されたWebページが、ユーザを一意に識別するデータを作成できる場合がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2026-20691：Gongyu Ma氏（@Mezone0）

ご協力いただいたその他の方々

Safari

@RenwaX23氏、Bikesh Parajuli氏、Farras Givari氏、Syarif Muhammad Sajjad氏、Yair氏のご協力に感謝いたします。

Web Extensions

Carlos Jeurissen氏、Rob Wu氏（robwu.nl）のご協力に感謝いたします。

WebKit

Vamshi Paili氏のご協力に感謝いたします。

WebKit Process Model

Joseph Semaan氏のご協力に感謝いたします。