Сведения о проблемах системы безопасности, устраняемых обновлением Safari 18.4
В этом документе описаны проблемы системы безопасности, устраняемые обновлением Safari 18.4.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Safari 18.4
Дата выпуска: 31 марта 2025 г.
Authentication Services
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Вредоносный веб-сайт может запрашивать учетные данные WebAuthn с другого веб-сайта, имеющего общий регистрируемый суффикс.
Описание. Проблема устранена путем улучшения проверки ввода.
CVE-2025-24180: Martin Kreichgauer из Google Chrome
Safari
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие: веб-сайт может обойти правило одного источника
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Запись добавлена 28 мая 2025 г.
Safari
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.
Описание. Проблема устранена путем улучшения пользовательского интерфейса.
CVE-2025-24113: @RenwaX23
Safari
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-30467: @RenwaX23
Safari
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Веб-сайт может получать доступ к данным датчиков без согласия пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-31192: Jaydev Ahire
Safari
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Источник загрузки может быть неверно ассоциирован.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Приложение может получить несанкционированный доступ к локальной сети.
Описание. Проблема устранена путем улучшения проверки разрешений.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, Дармштадтский технический университет, Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Посещение веб-сайта может приводить к утечке конфиденциальных данных.
Описание. Проблема с импортом сценариев устранена путем улучшения изоляции.
CVE-2025-24192: Vsevolod Kokorin (Slonser) из Solidlab
WebKit
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong и анонимный исследователь
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker из ParagonERP
WebKit
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) и анонимный исследователь
WebKit
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Загрузка вредоносного элемента iframe может привести к атаке с использованием межсайтовых сценариев.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) и Kalimantan Utara
WebKit
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Целевые продукты: macOS Ventura и macOS Sonoma
Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже в режиме частного доступа Safari.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 286580
CVE-2025-30425: анонимный исследователь
Дополнительные благодарности
Safari
Выражаем благодарность за помощь пользователям George Bafaloukas (george.bafaloukas@pingidentity.com) и Shri Hunashikatti (sshpro9@gmail.com).
Safari Downloads
Выражаем благодарность за помощь пользователю Koh M. Nakagawa (@tsunek0h) из FFRI Security, Inc.
Safari Extensions
Выражаем благодарность за помощь пользователям Alisha Ukani, Pete Snyder и Alex C. Snoeren.
Safari Private Browsing
Выражаем благодарность за помощь пользователю Charlie Robinson.
WebKit
Выражаем благодарность за помощь пользователям Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) и Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang и Daoyuan Wu из HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) из VXRL, Wong Wai Kin, Dongwei Xiao и Shuai Wang из HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) из VXRL, Xiangwei Zhang из Tencent Security YUNDING LAB, 냥냥 и анонимному исследователю.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.