Сведения о проблемах системы безопасности, устраняемых обновлением Safari 26.5
В этом документе описаны проблемы системы безопасности, устраненные в Safari 26.5.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Safari 26.5
Дата выпуска: 13 мая 2026 г.
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема с проверкой устранена путем улучшения логики.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема устранена путем улучшения проверки ввода.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.
Описание. Проблема устранена путем улучшения ограничений доступа.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, пользователь greenbynox
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu и Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), анонимный исследователь в сотрудничестве с TrendAI в рамках программы Zero Day Initiative, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: пользователь wac и Kookhwan Lee в сотрудничестве с TrendAI в рамках программы Zero Day Initiative
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) из Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: исследовательская группа по вопросам методов взлома компании Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern и Guido Vranken), Maher Azzouzi, Ngan Nguyen из Calif.io
WebKit Bugzilla: 311631
CVE-2026-28913: анонимный исследователь
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшения защиты данных.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшения проверки ввода.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 310234
CVE-2026-28947: пользователь dr3dd
WebKit Bugzilla: 310544
CVE-2026-28946: Gia Bui (@yabeow) из Calif.io, dr3dd, w0wbox
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr и Nicholas Carlini в сотрудничестве с Claude, Anthropic
WebKit
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Вредоносный элемент iframe может использовать параметры загрузки другого веб-сайта.
Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.
CVE-2026-28971: Khiem Tran
WebKit Bugzilla: 311288
WebRTC
Целевые продукты: macOS Sonoma и macOS Sequoia
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu из Palo Alto Networks, Jérôme DJOUDER, пользователь dr3dd
Дополнительные благодарности
Safari
Выражаем благодарность за помощь Sean Mutuku.
Safari Push Notifications
Выражаем благодарность за помощь Robert Mindo.
WebKit
Выражаем благодарность за помощь пользователям Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.
WebRTC
Выражаем благодарность за помощь пользователю Hyeonji Son (@jir4vv1t) из Demon Team.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.