Zawartość związana z zabezpieczeniami w przeglądarce Safari 18.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarce Safari 18.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Safari 18.4

Authentication Services

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: złośliwa witryna internetowa może być w stanie uzyskać poświadczenia WebAuthn z innej witryny, która współdzieli zarejestrowaną końcówkę domeny.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24180: Martin Kreichgauer z Google Chrome

Safari 

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: witryna internetowa może być w stanie ominąć zasadę tego samego pochodzenia.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari 

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: ten błąd naprawiono przez ulepszenie interfejsu użytkownika.

CVE-2025-24113: @RenwaX23

Safari

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30467: @RenwaX23

Safari

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: witryna internetowa mogła uzyskać dostęp do informacji z czujników bez zgody użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-31192: Jaydev Ahire

Safari

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: źródło pobierania może być niepoprawnie powiązane.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24167: Syarif Muhammad Sajjad

Web Extensions

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do funkcji Lokalna sieć.

Opis: ten błąd naprawiono przez poprawienie sprawdzania uprawnień.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) i Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: odwiedzenie witryny może spowodować ujawnienie poufnych danych.

Opis: naprawiono błąd importowania skryptu przez ulepszenie izolacji.

CVE-2025-24192: Vsevolod Kokorin (Slonser) z Solidlab

WebKit

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24264: Gary Kwong i anonimowy badacz

CVE-2025-24216: Paul Bakker z ParagonERP

WebKit

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2025-24209: Francisco Alonso (@revskills) i anonimowy badacz

WebKit

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: wczytanie złośliwego elementu iframe może prowadzić do ataku typu cross-site scripting (XSS).

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) i Kalimantan Utara

WebKit

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Dostępne dla: systemów macOS Ventura i macOS Sonoma

Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników, gdy w przeglądarce Safari jest włączony tryb przeglądania prywatnego.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30425: anonimowy badacz

Dodatkowe podziękowania

Safari

Dziękujemy za udzieloną pomoc: George Bafaloukas (george.bafaloukas@pingidentity.com) i Shri Hunashikatti (sshpro9@gmail.com).

Safari Downloads

Dziękujemy za udzieloną pomoc: Koh M. Nakagawa (@tsunek0h) z FFRI Security, Inc.

Safari Extensions

Dziękujemy za udzieloną pomoc: Alisha Ukani, Pete Snyder, Alex C. Snoeren.

Safari Private Browsing

Dziękujemy za udzieloną pomoc: Charlie Robinson.

WebKit

Dziękujemy za udzieloną pomoc: Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) i Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang i Daoyuan Wu z HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) z VXRL, Wong Wai Kin, Dongwei Xiao i Shuai Wang z HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) z VXRL., Xiangwei Zhang z Tencent Security YUNDING LAB, 냥냥 i anonimowy badacz.