Проблеми системи безпеки, які усунено в оновленні Safari 18.4
У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 18.4.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
Safari 18.4
Дата випуску: 31 березня 2025 р.
Authentication Services
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: шкідливий вебсайт може запитувати облікові дані WebAuthn з іншого вебсайту, що має загальний суфікс із можливістю реєстрації.
Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24180: Martin Kreichgauer із Google Chrome
Safari
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: вебсайт може обходити політики одного джерела (Same Origin Policy).
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Запис додано 28 травня 2025 р.
Safari
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.
Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.
CVE-2025-24113: @RenwaX23
Safari
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-30467: @RenwaX23
Safari
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: вебсайт може отримувати доступ до даних датчиків без згоди користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-31192: Jaydev Ahire
Safari
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: джерело завантаження може неправильно визначатися.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-24167: Syarif Muhammad Sajjad
Web Extensions
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: програма може отримувати несанкціонований доступ до локальної мережі.
Опис: цю проблему вирішено завдяки вдосконаленню перевірки дозволів.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, Дармштадтський технічний університет, Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: відвідування вебсайту може призвести до витоку конфіденційних даних.
Опис: проблему з імпортом сценаріїв вирішено завдяки вдосконаленню ізоляції.
CVE-2025-24192: Vsevolod Kokorin (Slonser) із Solidlab
WebKit
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong і анонімний дослідник
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker з ParagonERP
WebKit
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) і анонімний дослідник
WebKit
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: завантаження шкідливого елемента iframe може призвести до атаки з використанням міжсайтових сценаріїв.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
WebKit Bugzilla: 286381
CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) і Kalimantan Utara
WebKit
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Цільові продукти: macOS Ventura та macOS Sonoma
Вплив: зловмисний сайт може відстежувати користувачів у приватному режимі перегляду в Safari.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 286580
CVE-2025-30425: анонімний дослідник
Додаткова подяка
Safari
Дякуємо за допомогу користувачам George Bafaloukas (george.bafaloukas@pingidentity.com) і Shri Hunashikatti (sshpro9@gmail.com).
Safari Downloads
Дякуємо за допомогу користувачу Koh M. Nakagawa (@tsunek0h) з FFRI Security, Inc.
Safari Extensions
Дякуємо за допомогу користувачам Alisha Ukani, Pete Snyder й Alex C. Snoeren.
Safari Private Browsing
Дякуємо за допомогу користувачу Charlie Robinson.
WebKit
Дякуємо за допомогу користувачам Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) і Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang і Daoyuan Wu з HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) з VXRL, Wong Wai Kin, Dongwei Xiao та Shuai Wang з HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) з VXRL, Xiangwei Zhang із Tencent Security YUNDING LAB, 냥냥 і анонімному досліднику.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.