Safari 26.5のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2026年5月13日リリース
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:ロジックを改良し、検証の脆弱性に対処しました。
WebKit Bugzilla:308906
CVE-2026-43660:Cantina
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:入力検証を強化することで、この問題に対処しました。
WebKit Bugzilla:308675
CVE-2026-28907:Cantina
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、ユーザの機微情報が漏洩する可能性がある。
説明:アクセス制限を改善することで、この問題に対処しました。
WebKit Bugzilla:309698
CVE-2026-28962:Luke Francis氏、Vaagn Vardanian氏、kwak kiyong氏/kakaogames、Vitaly Simonovich氏、Adel Bouachraoui氏、greenbynox氏
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:307669
CVE-2026-43658:Do Young Park氏
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:308545
CVE-2026-28905:Yuhao Hu氏、Yuanming Lai氏、Chenggang Wu氏、Zhe Wang氏
WebKit Bugzilla:308707
CVE-2026-28847:DARKNAVY氏(@DarkNavyOrg)、TrendAI Zero Day Initiativeに協力する匿名の研究者、Daniel Rhea氏
WebKit Bugzilla:309601
CVE-2026-28904:Luka Rački氏
WebKit Bugzilla:310880
CVE-2026-28955:TrendAI Zero Day Initiativeに協力するwac氏およびKookhwan Lee氏
WebKit Bugzilla:310303
CVE-2026-28903:Mateusz Krzywicki氏(iVerify.io)
WebKit Bugzilla:309628
CVE-2026-28953:Maher Azzouzi氏
WebKit Bugzilla:309861
CVE-2026-28902:Talence SecurityのTristan Madani氏(@TristanInSec)、Nathaniel Oh氏(@calysteon)
WebKit Bugzilla:310207
CVE-2026-28901:Aisle offensive security research team(Joshua Rogers氏、Luigino Camastra氏、Igor Morgenstern氏、Guido Vranken氏)、Maher Azzouzi氏、Calif.ioのNgan Nguyen氏
WebKit Bugzilla:311631
CVE-2026-28913:匿名の研究者
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:313939
CVE-2026-28883:kwak kiyong氏/kakaogames
対象:macOS SonomaおよびmacOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:この問題は、データ保護を強化することで解決されました。
WebKit Bugzilla:311228
CVE-2026-28958:Cantina
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:入力検証を強化することで、この問題に対処しました。
WebKit Bugzilla:310527
CVE-2026-28917:Vitaly Simonovich氏
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:310234
CVE-2026-28947:dr3dd
WebKit Bugzilla:310544
CVE-2026-28946:Calif.ioのGia Bui氏(@yabeow)、dr3dd氏、w0wbox氏
WebKit Bugzilla:312180
CVE-2026-28942:Claude/Anthropicに協力するMilad Nasr氏およびNicholas Carlini氏
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意のあるiframeがほかのWebサイトのダウンロード設定を使用する可能性がある。
説明:UIの処理を改善することで、この問題を解決しました。
CVE-2026-28971:Khiem Tran氏
WebKit Bugzilla:311288
対象:macOS SonomaおよびmacOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:311131
CVE-2026-28944:Palo Alto NetworksのKenneth Hsu氏、Jérôme DJOUDER氏、dr3dd
sean mutuku氏のご協力に感謝いたします。
Robert Mindo氏のご協力に感謝いたします。
Muhammad Zaid Ghifari(Mr.ZheeV)氏、Kalimantan Utara氏、Qadhafy Muhammad Tera氏、Vitaly Simonovich氏のご協力に感謝いたします。
Demon TeamのHyeonji Son氏(@jir4vv1t)のご協力に感謝いたします。