Over de beveiligingsinhoud van Safari 26.5
In dit document wordt de beveiligingsinhoud van Safari 26.5 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
Safari 26.5
Releasedatum: 13 mei 2026
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd
Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: dit probleem is verholpen door verbeterde toegangsbeperkingen.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu en Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Anoniem in samenwerking met TrendAI Zero Day Initiative, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac en Kookhwan Lee in samenwerking met TrendAI Zero Day Initiative
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) van Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: Aisle Offensive Security Research Team (Joshua Rogers, Luigino Camastra, Igor Morgenstern en Guido Vranken), Maher Azzouzi, Ngan Nguyen van Calif.io
WebKit Bugzilla: 311631
CVE-2026-28913: een anonieme onderzoeker
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit Bugzilla: 310544
CVE-2026-28946: Gia Bui (@yabeow) van Calif.io, dr3dd, w0wbox
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr en Nicholas Carlini met Claude, Anthropic
WebKit
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: een kwaadaardig iframe kan de downloadinstellingen van een andere website gebruiken
Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.
CVE-2026-28971: Khiem Tran
WebKit Bugzilla: 311288
WebRTC
Beschikbaar voor: macOS Sonoma en macOS Sequoia
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu van Palo Alto Networks, Jérôme DJOUDER, dr3dd
Aanvullende erkenning
Safari
Met dank aan sean mutuku voor de hulp.
Safari Push Notifications
Met dank aan Robert Mindo voor de hulp.
WebKit
Met dank aan Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich voor de hulp.
WebRTC
Met dank aan Hyeonji Son (@jir4vv1t) van Demon Team voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.