Сведения о проблемах системы безопасности, устраняемых обновлением Safari 18.6

В этом документе описаны проблемы системы безопасности, устраняемые обновлением Safari 18.6.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Safari 18.6

libxml2

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

CVE-2025-7425: Sergei Glazunov из подразделения Google Project Zero

libxslt

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-7424: Ivan Fratric из Google Project Zero

Safari

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-24188: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43229: Martin Bajanik из Fingerprint, Ammar Askar

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема устранена путем улучшения пользовательского интерфейса.

CVE-2025-43228: Jaydev Ahire

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43227: Gilad Moav

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Источник загрузки может быть неверно ассоциирован.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43240: Syarif Muhammad Sajjad

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43214: shandikri в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) и Ziling Chen

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию внутренних состояний приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) из команды исследователей DEVCORE

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Целевые продукты: macOS Ventura и macOS Sonoma

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

CVE-2025-6558: Clément Lecigne и Vlad Stolyarov из Threat Analysis Group в Google

Дополнительные благодарности

libxml2

Выражаем благодарность за помощь Sergei Glazunov из подразделения Google Project Zero.

libxslt

Выражаем благодарность за помощь Ivan Fratric из подразделения Google Project Zero.

Safari

Выражаем благодарность за помощь Ameen Basha M K.

WebKit

Выражаем благодарность за помощь Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei, rheza (@ginggilBesel).