Сведения о проблемах системы безопасности, устраняемых обновлением Safari 18.4

В этом документе описаны проблемы системы безопасности, устраняемые обновлением Safari 18.4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Safari 18.4

Authentication Services

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Вредоносный веб-сайт может запрашивать учетные данные WebAuthn с другого веб-сайта, имеющего общий регистрируемый суффикс.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-24180: Martin Kreichgauer из Google Chrome

Safari

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие: веб-сайт может обойти правило одного источника

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. Проблема устранена путем улучшения пользовательского интерфейса.

CVE-2025-24113: @RenwaX23

Safari

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-30467: @RenwaX23

Safari

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Веб-сайт может получать доступ к данным датчиков без согласия пользователя.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-31192: Jaydev Ahire

Safari

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Источник загрузки может быть неверно ассоциирован.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-24167: Syarif Muhammad Sajjad

Web Extensions

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Приложение может получить несанкционированный доступ к локальной сети.

Описание. Проблема устранена путем улучшения проверки разрешений.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, Дармштадтский технический университет, Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Посещение веб-сайта может приводить к утечке конфиденциальных данных.

Описание. Проблема с импортом сценариев устранена путем улучшения изоляции.

CVE-2025-24192: Vsevolod Kokorin (Slonser) из Solidlab

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24264: Gary Kwong и анонимный исследователь

CVE-2025-24216: Paul Bakker из ParagonERP

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2025-24209: Francisco Alonso (@revskills) и анонимный исследователь

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Загрузка вредоносного элемента iframe может привести к атаке с использованием межсайтовых сценариев.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) и Kalimantan Utara

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже в режиме частного доступа Safari.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-30425: анонимный исследователь

Дополнительные благодарности

Safari

Выражаем благодарность за помощь пользователям George Bafaloukas (george.bafaloukas@pingidentity.com) и Shri Hunashikatti (sshpro9@gmail.com).

Safari Downloads

Выражаем благодарность за помощь пользователю Koh M. Nakagawa (@tsunek0h) из FFRI Security, Inc.

Safari Extensions

Выражаем благодарность за помощь пользователям Alisha Ukani, Pete Snyder и Alex C. Snoeren.

Safari Private Browsing

Выражаем благодарность за помощь пользователю Charlie Robinson.

WebKit

Выражаем благодарность за помощь пользователям Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) и Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang и Daoyuan Wu из HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) из VXRL, Wong Wai Kin, Dongwei Xiao и Shuai Wang из HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) из VXRL, Xiangwei Zhang из Tencent Security YUNDING LAB, 냥냥 и анонимному исследователю.