Sobre o conteúdo de segurança do Safari 18.4
Este documento descreve o conteúdo do Safari 18.4.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
Safari 18.4
Lançado em 31 de março de 2025
Authentication Services
Disponível para: macOS Ventura e macOS Sonoma
Impacto: um site mal-intencionado pode reivindicar credenciais WebAuthn de outro site que compartilha um sufixo registrável
Descrição: o problema foi resolvido por meio de melhorias na validação de entrada.
CVE-2025-24180: Martin Kreichgauer do Google Chrome
Safari
Disponível para: macOS Ventura e macOS Sonoma
Impacto: um site pode ser capaz de ignorar a Política de Mesma Origem
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Entrada adicionada em 28 de maio de 2025
Safari
Disponível para: macOS Ventura e macOS Sonoma
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: o problema foi resolvido por meio de melhorias da interface do usuário.
CVE-2025-24113: @RenwaX23
Safari
Disponível para: macOS Ventura e macOS Sonoma
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-30467: @RenwaX23
Safari
Disponível para: macOS Ventura e macOS Sonoma
Impacto: um site pode acessar informações do sensor sem o consentimento do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-31192: Jaydev Ahire
Safari
Disponível para: macOS Ventura e macOS Sonoma
Impacto: a origem de um download pode ser associada incorretamente
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
Disponível para: macOS Ventura e macOS Sonoma
Impacto: um app pode obter acesso não autorizado à rede local
Descrição: o problema foi resolvido por meio de melhorias nas verificações de permissões.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) e Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Disponível para: macOS Ventura e macOS Sonoma
Impacto: acessar um site pode causar o vazamento de dados confidenciais
Descrição: um problema de importação de script foi resolvido por meio de melhorias no isolamento.
CVE-2025-24192: Vsevolod Kokorin (Slonser) da Solidlab
WebKit
Disponível para: macOS Ventura e macOS Sonoma
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong e um pesquisador anônimo
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker da ParagonERP
WebKit
Disponível para: macOS Ventura e macOS Sonoma
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) e um pesquisador anônimo
WebKit
Disponível para: macOS Ventura e macOS Sonoma
Impacto: carregar um iframe criado com códigos maliciosos pode causar um ataque de script entre sites
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) e Kalimantan Utara
WebKit
Disponível para: macOS Ventura e macOS Sonoma
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 285643
CVE-2025-30427: Rheza (@ginggilBesel)
WebKit
Disponível para: macOS Ventura e macOS Sonoma
Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 286580
CVE-2025-30425: pesquisador anônimo
Outros reconhecimentos
Safari
Gostaríamos de agradecer a George Bafaloukas (george.bafaloukas@pingidentity.com) e Shri Hunashikatti (sshpro9@gmail.com) pela ajuda.
Safari Downloads
Gostaríamos de agradecer a Koh M. Nakagawa (@tsunek0h) da FFRI Security, Inc. pela ajuda.
Safari Extensions
Gostaríamos de agradecer a Alisha Ukani, Pete Snyder e Alex C. Snoeren pela ajuda.
Safari Private Browsing
Gostaríamos de agradecer a Charlie Robinson pela ajuda.
WebKit
Gostaríamos de agradecer a Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) e Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang e Daoyuan Wu do HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) da VXRL, Wong Wai Kin, Dongwei Xiao e Shuai Wang do HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) da VXRL., Xiangwei Zhang, do Tencent Security YUNDING LAB, 냥냥, e um pesquisador anônimo pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.