Сведения о проблемах системы безопасности, устраняемых обновлением Safari 26.4

В этом документе описаны проблемы системы безопасности, устраненные в Safari 26.4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Safari 26.4

WebKit

Целевые продукты: macOS Sonoma и macOS Sequoia

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2026-20665: webb

WebKit

Целевые продукты: macOS Sonoma и macOS Sequoia

Воздействие. Обработка вредоносного веб-содержимого может обойти политику одного источника.

Описание. Проблема с разными источниками в API Navigation устранена путем улучшенной проверки ввода.

CVE-2026-20643: Thomas Espach

WebKit

Целевые продукты: macOS Sonoma и macOS Sequoia

Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2026-28871: @hamayanhamayan

WebKit

Целевые продукты: macOS Sonoma и macOS Sequoia

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20664: Yeonghyeon Choi, Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch3301, Yevhen Pervushyn

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Целевые продукты: macOS Sonoma и macOS Sequoia

Воздействие. Вредоносный веб-сайт может получить доступ к средствам обработки сообщений скриптов, предназначенным для других источников.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2026-28861: Hongze Wu и Shuaike Dong из отдела безопасности инфраструктуры компании Ant Group и пользователь webb

WebKit

Целевые продукты: macOS Sonoma и macOS Sequoia

Воздействие. Вредоносный веб-сайт может обрабатывать онлайн-контент с ограниченным доступом за границами песочницы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28859: greenbynox, Arni Hardarson и анонимный исследователь

WebKit Sandboxing

Целевые продукты: macOS Sonoma и macOS Sequoia

Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Дополнительные благодарности

Safari

Выражаем благодарность за помощь @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair.

Web Extensions

Выражаем благодарность за помощь Carlos Jeurissen, Rob Wu (robwu.nl).

WebKit

Выражаем благодарность за помощь Vamshi Paili.

WebKit Process Model

Выражаем благодарность за помощь Joseph Semaan.