Acerca dos conteúdos de segurança do Safari 18.4

Este documento descreve os conteúdos de segurança do Safari 18.4.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

Safari 18.4

Authentication Services

Disponível para: macOS Ventura e macOS Sonoma

Impacto: um site malicioso poderá conseguir reivindicar credenciais WebAuthn de outro site que partilhe um sufixo registável

Descrição: o problema foi resolvido através da validação melhorada da entrada.

CVE-2025-24180: Martin Kreichgauer do Google Chrome

Safari

Disponível para: macOS Ventura e macOS Sonoma

Impacto: um site poderá conseguir contornar a mesma Política de origem

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Disponível para: macOS Ventura e macOS Sonoma

Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador

Descrição: o problema foi resolvido através de uma IU melhorada.

CVE-2025-24113: @RenwaX23

Safari

Disponível para: macOS Ventura e macOS Sonoma

Impacto: aceder a um site malicioso poderá provocar a falsificação dos conteúdos na barra de endereço

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-30467: @RenwaX23

Safari

Disponível para: macOS Ventura e macOS Sonoma

Impacto: um site pode aceder às informações dos sensores sem a autorização do utilizador

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-31192: Jaydev Ahire

Safari

Disponível para: macOS Ventura e macOS Sonoma

Impacto: a origem de uma descarga poderá ser incorretamente associada

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2025-24167: Syarif Muhammad Sajjad

Web Extensions

Disponível para: macOS Ventura e macOS Sonoma

Impacto: uma app pode obter acesso não autorizado à rede local

Descrição: este problema foi resolvido através de melhorias na verificação das permissões.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) e Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Disponível para: macOS Ventura e macOS Sonoma

Impacto: aceder a um site poderá provocar a divulgação de dados confidenciais

Descrição: foi resolvido um problema de importação de scripts através de um isolamento melhorado.

CVE-2025-24192: Vsevolod Kokorin (Slonser) do Solidlab

WebKit

Disponível para: macOS Ventura e macOS Sonoma

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no Safari

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-24264: Gary Kwong e um investigador anónimo

CVE-2025-24216: Paul Bakker da ParagonERP

WebKit

Disponível para: macOS Ventura e macOS Sonoma

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.

CVE-2025-24209: Francisco Alonso (@revskills) e um investigador anónimo

WebKit

Disponível para: macOS Ventura e macOS Sonoma

Impacto: o carregamento de um iframe malicioso poderá provocar um ataque de execução de scripts entre sites

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) e Kalimantan Utara

WebKit

Disponível para: macOS Ventura e macOS Sonoma

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no Safari

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Disponível para: macOS Ventura e macOS Sonoma

Impacto: um site malicioso poderá conseguir monitorizar utilizadores no modo de navegação privada do Safari

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2025-30425: um investigador anónimo

Agradecimentos adicionais

Safari

Gostaríamos de agradecer a George Bafaloukas (george.bafaloukas@pingidentity.com) e Shri Hunashikatti (sshpro9@gmail.com) pela sua colaboração.

Safari Downloads

Gostaríamos de agradecer a Koh M. Nakagawa (@tsunek0h) da FFRI Security, Inc. pela sua colaboração.

Safari Extensions

Gostaríamos de agradecer a Alisha Ukani, Pete Snyder, Alex C. Snoeren pela sua colaboração.

Safari Private Browsing

Gostaríamos de agradecer a Charlie Robinson pela sua colaboração.

WebKit

Gostaríamos de agradecer a Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) e Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang e Daoyuan Wu da HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) da VXRL, Wong Wai Kin, Dongwei Xiao e Shuai Wang da HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) da VXRL., Xiangwei Zhang da Tencent Security YUNDING LAB, 냥냥 e a um investigador anónimo pela sua colaboração.