เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 18.4
เอกสารฉบับนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 18.4
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่แผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
Safari 18.4
เปิดตัวเมื่อวันที่ 31 มีนาคม 2025
Authentication Services
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถอ้างสิทธิ์ข้อมูลประจำตัว WebAuthn จากเว็บไซต์อื่นที่มีส่วนท้ายโดเมนที่ลงทะเบียนร่วมกันได้
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2025-24180: Martin Kreichgauer จาก Google Chrome
Safari
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: เว็บไซต์อาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2025-30466: Jaydev Ahire, @RenwaX23
เพิ่มรายการเมื่อวันที่ 28 พฤษภาคม 2025
Safari
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุง UI ให้ดียิ่งขึ้น
CVE-2025-24113: @RenwaX23
Safari
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2025-30467: @RenwaX23
Safari
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: เว็บไซต์อาจสามารถเข้าถึงข้อมูลเซ็นเซอร์โดยไม่ได้รับความยินยอมจากผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2025-31192: Jaydev Ahire
Safari
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: ต้นทางของการดาวน์โหลดอาจเชื่อมโยงกันอย่างไม่ถูกต้อง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงเครือข่ายภายในได้โดยไม่ได้รับอนุญาต
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt และ Mathy Vanhoef (@vanhoefm) และ Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: การเข้าดูเว็บไซต์อาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหลได้
คำอธิบาย: ปัญหาการนำเข้าสคริปต์ได้รับการแก้ไขด้วยการปรับปรุงการแยกส่วน
CVE-2025-24192: Vsevolod Kokorin (Slonser) จาก Solidlab
WebKit
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong และนักวิจัยนิรนาม
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker จาก ParagonERP
WebKit
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) และนักวิจัยนิรนาม
WebKit
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: การโหลด iframe ที่เป็นอันตรายอาจทำให้เกิดการโจมตีแบบ cross-site Scripting
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) และ Kalimantan Utara
WebKit
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
มีให้สำหรับ: macOS Ventura และ macOS Sonoma
ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถติดตามผู้ใช้ในโหมดการเลือกชมแบบส่วนตัวของ Safari ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 286580
CVE-2025-30425: นักวิจัยนิรนาม
คำขอบคุณพิเศษ
Safari
เราขอขอบคุณ George Bafaloukas (george.bafaloukas@pingidentity.com) และ Shri Hunashikatti (sshpro9@gmail.com) ที่ให้ความช่วยเหลือ
Safari Downloads
เราขอขอบคุณสำหรับความช่วยเหลือจาก Koh M. Nakagawa (@tsunek0h) จาก FFRI Security, Inc.
Safari Extensions
เราขอขอบคุณ Alisha Ukani, Pete Snyder, Alex C. Snoeren ที่ให้ความช่วยเหลือ
Safari Private Browsing
เราขอขอบคุณ Charlie Robinson ที่ให้ความช่วยเหลือ
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) และ Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang และ Daoyuan Wu จาก HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) จาก VXRL, Wong Wai Kin, Dongwei Xiao และ Shuai Wang จาก HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) จาก VXRL., Xiangwei Zhang จาก Tencent Security YUNDING LAB, 냥냥 และนักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม