Om säkerhetsinnehållet i Safari 18.4
I det här dokumentet beskrivs säkerhetsinnehållet i Safari 18.4.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apple Product Security.
Safari 18.4
Släpptes 31 mars 2025
Authentication Services
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: En skadlig webbplats kan begära WebAuthn-inloggningsuppgifter från en annan webbplats som delar ett registrerbart suffix
Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.
CVE-2025-24180: Martin Kreichgauer på Google Chrome
Safari
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: En webbplats kan kringgå principen för samma ursprung
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Lades till 28 maj 2025
Safari
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Problemet hanterades med förbättrat användargränssnitt.
CVE-2025-24113: @RenwaX23
Safari
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2025-30467: @RenwaX23
Safari
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: En webbplats kan få tillgång till sensorinformation utan användarens tillstånd
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2025-31192: Jaydev Ahire
Safari
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: En hämtnings ursprung kan vara felaktigt associerat
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: En app kan få obehörig åtkomst till lokalt nätverk
Beskrivning: Problemet åtgärdades med förbättrade behörighetskontroller.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) och Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: Besök på en webbplats kan läcka känsliga data
Beskrivning: Ett problem med import av skript åtgärdades med förbättrad isolering.
CVE-2025-24192: Vsevolod Kokorin (Slonser) på Solidlab
WebKit
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong och en anonym forskare
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker på ParagonERP
WebKit
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) och en anonym forskare
WebKit
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: Att ladda en skadlig iframe kan leda till en skriptkörningsattack över flera platser
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) och Kalimantan Utara
WebKit
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat
Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Tillgängligt för: macOS Ventura och macOS Sonoma
Effekt: En skadlig webbplats kan spåra användare som använder privat surfning i Safari
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 286580
CVE-2025-30425: En anonym forskare
Ytterligare tack
Safari
Vi vill tacka George Bafaloukas (george.bafaloukas@pingidentity.com) och Shri Hunashikatti (sshpro9@gmail.com) för hjälpen.
Safari Downloads
Vi vill tacka Koh M. Nakagawa (@tsunek0h) på FFRI Security, Inc. för hjälpen.
Safari Extensions
Vi vill tacka Alisha Ukani, Pete Snyder, Alex C. Snoeren för hjälpen.
Safari Private Browsing
Vi vill tacka Charlie Robinson för hjälpen.
WebKit
Vi vill tacka Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) och Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang och Daoyuan Wu på HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) på VXRL, Wong Wai Kin, Dongwei Xiao och Shuai Wang på HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) på VXRL., Xiangwei Zhang på Tencent Security YUNDING LAB, 냥냥 och en anonym forskare för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.