Проблеми системи безпеки, які усунено в оновленні Safari 18.4

У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 18.4.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

Safari 18.4

Дата випуску: 31 березня 2025 р.

Authentication Services

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: шкідливий вебсайт може запитувати облікові дані WebAuthn з іншого вебсайту, що має загальний суфікс із можливістю реєстрації.

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24180: Martin Kreichgauer із Google Chrome

Safari

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: вебсайт може обходити політики одного джерела (Same Origin Policy).

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Запис додано 28 травня 2025 р.

Safari

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.

Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.

CVE-2025-24113: @RenwaX23

Safari

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-30467: @RenwaX23

Safari

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: вебсайт може отримувати доступ до даних датчиків без згоди користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-31192: Jaydev Ahire

Safari

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: джерело завантаження може неправильно визначатися.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24167: Syarif Muhammad Sajjad

Web Extensions

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: програма може отримувати несанкціонований доступ до локальної мережі.

Опис: цю проблему вирішено завдяки вдосконаленню перевірки дозволів.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, Дармштадтський технічний університет, Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: відвідування вебсайту може призвести до витоку конфіденційних даних.

Опис: проблему з імпортом сценаріїв вирішено завдяки вдосконаленню ізоляції.

CVE-2025-24192: Vsevolod Kokorin (Slonser) із Solidlab

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 285892

CVE-2025-24264: Gary Kwong і анонімний дослідник

WebKit Bugzilla: 284055

CVE-2025-24216: Paul Bakker з ParagonERP

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

WebKit Bugzilla: 286462

CVE-2025-24209: Francisco Alonso (@revskills) і анонімний дослідник

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: завантаження шкідливого елемента iframe може призвести до атаки з використанням міжсайтових сценаріїв.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

WebKit Bugzilla: 286381

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) і Kalimantan Utara

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

WebKit Bugzilla: 285643

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: зловмисний сайт може відстежувати користувачів у приватному режимі перегляду в Safari.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

WebKit Bugzilla: 286580

CVE-2025-30425: анонімний дослідник

Додаткова подяка

Safari

Дякуємо за допомогу користувачам George Bafaloukas (george.bafaloukas@pingidentity.com) і Shri Hunashikatti (sshpro9@gmail.com).

Safari Downloads

Дякуємо за допомогу користувачу Koh M. Nakagawa (@tsunek0h) з FFRI Security, Inc.

Safari Extensions

Дякуємо за допомогу користувачам Alisha Ukani, Pete Snyder й Alex C. Snoeren.

Safari Private Browsing

Дякуємо за допомогу користувачу Charlie Robinson.

WebKit

Дякуємо за допомогу користувачам Gary Kwong, Jesse Stolwijk, Junsung Lee, P1umer (@p1umer) і Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang і Daoyuan Wu з HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) з VXRL, Wong Wai Kin, Dongwei Xiao та Shuai Wang з HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) з VXRL, Xiangwei Zhang із Tencent Security YUNDING LAB, 냥냥 і анонімному досліднику.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: