Проблеми системи безпеки, які усунено в оновленні Safari 18.6

У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 18.6.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

Safari 18.6

libxml2

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2025-7425: Sergei Glazunov із Google Project Zero

libxslt

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-7424: Ivan Fratric із підрозділу Google Project Zero

Safari

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24188: Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-43229: Martin Bajanik із Fingerprint, Ammar Askar

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.

Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.

CVE-2025-43228: Jaydev Ahire

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до розкриття конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-43227: Gilad Moav, Yehuda Afek, Anat Bremler-Barr і Amit Klein

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: джерело завантаження може неправильно визначатися.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43240: Syarif Muhammad Sajjad

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43214: користувач shandikri, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, і Google V8 Security Team

CVE-2025-43213: відділ безпеки Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) і Ziling Chen

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до розкриття внутрішніх станів програми.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) із DEVCORE Research Team

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему Use-After-Free усунуто завдяки вдосконаленню керування пам’яттю.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Цільові продукти: macOS Ventura та macOS Sonoma

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2025-6558: Clément Lecigne і Vlad Stolyarov із групи аналізу загроз Google

Додаткова подяка

libxml2

Дякуємо за допомогу Sergei Glazunov із Google Project Zero.

libxslt

Дякуємо за допомогу Ivan Fratric із Google Project Zero.

Safari

Дякуємо за допомогу Ameen Basha M K.

WebKit

Дякуємо за допомогу Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei та користувачу rheza (@ginggilBesel).