Om sikkerhetsinnholdet i Safari 18.4
Dette dokumentet beskriver sikkerhetsinnholdet i Safari 18.4.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
Mer informasjon finnes på siden for Apple-produktsikkerhet.
Safari 18.4
Utgitt 31. mars 2025
Authentication Services
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Et skadelig nettsted kan kreve WebAuthn-legitimasjon fra et annet nettsted som deler et registrerbart suffiks
Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.
CVE-2025-24180: Martin Kreichgauer hos Google Chrome
Safari
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Et nettsted kan omgå regelen for samme opprinnelse (Same Origin)
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Oppføring lagt til 28. mai 2025
Safari
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel
Beskrivelse: Problemet ble løst med et forbedret brukergrensesnitt.
CVE-2025-24113: @RenwaX23
Safari
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2025-30467: @RenwaX23
Safari
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Et nettsted kan få tilgang til sensorinformasjon uten brukerens samtykke
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2025-31192: Jaydev Ahire
Safari
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Opphavet til en nedlasting kan være feilassosiert
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: En app kan få uautorisert tilgang til lokalt nettverk
Beskrivelse: Problemet ble løst gjennom forbedret rettighetskontroll.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) og Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Besøk på et nettsted kan lekke sensitive opplysninger
Beskrivelse: Et problem med skriptimport ble løst gjennom forbedret isolasjon.
CVE-2025-24192: Vsevolod Kokorin (Slonser) hos Solidlab
WebKit
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong og en anonym forsker
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker hos ParagonERP
WebKit
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) og en anonym forsker
WebKit
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Lasting av skadelig iframe kan føre til et skriptangrep på tvers av nettsteder
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) og Kalimantan Utara
WebKit
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Tilgjengelig for: macOS Ventura og macOS Sonoma
Virkning: Et skadelig nettsted kan spore brukere i privat Safari-nettlesermodus
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 286580
CVE-2025-30425: en anonym forsker
Ytterligere anerkjennelser
Safari
Vi vil gjerne takke George Bafaloukas (george.bafaloukas@pingidentity.com) og Shri Hunashikatti (sshpro9@gmail.com) for hjelpen.
Safari Downloads
Vi vil gjerne takke Koh M. Nakagawa (@tsunek0h) hos FFRI Security, Inc. for hjelpen.
Safari Extensions
Vi vil gjerne takke Alisha Ukani, Pete Snyder og Alex C. Snoeren for hjelpen.
Safari Private Browsing
Vi vil gjerne takke Charlie Robinson for hjelpen.
WebKit
Vi vil gjerne takke Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) og Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang og Daoyuan Wu hos HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) hos VXRL, Wong Wai Kin, Dongwei Xiao og Shuai Wang hos HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) hos VXRL., Xiangwei Zhang hos Tencent Security YUNDING LAB, 냥냥 og en anonym forsker for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.