Сведения о проблемах системы безопасности, устраняемых обновлением Safari 26.2
В этом документе описаны проблемы системы безопасности, устраненные в Safari 26.2.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Safari 26.2
Выпущено 12 декабря 2025 г.
Safari
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. На компьютере Mac с включенным режимом блокировки веб-содержимое, открытое через URL-адрес файла, может использовать веб-интерфейсы API, доступ к которым должен быть ограничен.
Описание. Проблема устранена путем улучшенной проверки URL-адресов.
CVE-2025-43526: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs
Safari Downloads
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Источник загрузки может быть неверно ассоциирован.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2024-8906: @retsew0x01
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем ввода дополнительных проверок разрешений.
WebKit Bugzilla: 295941
CVE-2025-46282: Wojciech Regula из SecuRing (wojciechregula.blog)
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.
WebKit Bugzilla: 301257
CVE-2025-43541: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 301726
CVE-2025-43536: Nan Wang (@eternalsakura13)
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 300774
CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)
Запись обновлена 17 декабря 2025 г.
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
WebKit Bugzilla: 301371
CVE-2025-43501: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Условие состязания устранено путем улучшения обработки состояний.
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo из Epic Games
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-14174.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 302502
CVE-2025-43529: подразделение Threat Analysis Group компании Google
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-43529.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
WebKit Bugzilla: 303614
CVE-2025-14174: подразделения Threat Analysis Group компаний Apple и Google
WebKit Web Inspector
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 300926
CVE-2025-43511: 이동하 (Lee Dong Ha из BoB 14th)
Дополнительные благодарности
Safari
Выражаем благодарность за помощь Mochammad Nosa Shandy Prastyo.
WebKit
Выражаем благодарность за помощь Geva Nurgandi Syahputra (gevakun).
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.