เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 26.4
เอกสารฉบับนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 26.4
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
Safari 26.4
เผยแพร่เมื่อวันที่ 24 มีนาคม 2026
WebKit
มีให้สำหรับ: macOS Sonoma และ macOS Sequoia
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 304951
CVE-2026-20665: webb
WebKit
มีให้สำหรับ: macOS Sonoma และ macOS Sequoia
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้
คำอธิบาย: ปัญหา Cross-Origin ใน Navigation API ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 306050
CVE-2026-20643: Thomas Espach
WebKit
มีให้สำหรับ: macOS Sonoma และ macOS Sequoia
ผลกระทบ: การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดภัยคุกคามแบบแฝงสคริปต์ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 305859
CVE-2026-28871: @hamayanhamayan
WebKit
มีให้สำหรับ: macOS Sonoma และ macOS Sequoia
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 306136
CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn
WebKit Bugzilla: 307723
CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)
WebKit
มีให้สำหรับ: macOS Sonoma และ macOS Sequoia
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถเข้าถึงตัวจัดการข้อความสคริปต์ที่มีไว้สำหรับต้นทางอื่น
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 307014
CVE-2026-28861: Hongze Wu และ Shuaike Dong จาก Ant Group Infrastructure Security Team
WebKit
มีให้สำหรับ: macOS Sonoma และ macOS Sequoia
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถประมวลผลคอนเทนต์เว็บที่จำกัดไว้นอกแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 308248
CVE-2026-28859: greenbynox, Arni Hardarson
WebKit Sandboxing
มีให้สำหรับ: macOS Sonoma และ macOS Sequoia
ผลกระทบ: หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 306827
CVE-2026-20691: Gongyu Ma (@Mezone0)
คำขอบคุณพิเศษ
Safari
เราขอขอบคุณ @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad และ Yair ที่ให้ความช่วยเหลือ
Web Extensions
เราขอขอบคุณ Carlos Jeurissen และ Rob Wu (robwu.nl) ที่ให้ความช่วยเหลือ
WebKit
เราขอขอบคุณ Vamshi Paili ที่ให้ความช่วยเหลือ
WebKit Process Model
เราขอขอบคุณ Joseph Semaan ที่ให้ความช่วยเหลือ
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม