Проблеми системи безпеки, які усунено в оновленні Safari 26.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 26.2.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
Safari 26.2
Дата випуску: 12 грудня 2025 р.
Safari
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: На комп’ютері Mac із увімкненим режимом карантину вебконтент, відкритий через URL-адресу файлу, може отримати доступ до інтерфейсів веб-API, які мали б бути обмежені
Опис: проблему усунено завдяки вдосконаленню перевірки URL-адреси.
CVE-2025-43526: Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs
Safari Downloads
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: джерело завантаження може неправильно визначатися.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-8906: @retsew0x01
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему усунуто завдяки додатковим перевіркам дозволів.
WebKit Bugzilla: 295941
CVE-2025-46282: Wojciech Regula із SecuRing (wojciechregula.blog)
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.
WebKit Bugzilla: 301257
CVE-2025-43541: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 301726
CVE-2025-43536: Nan Wang (@eternalsakura13)
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 300774
CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)
Запис оновлено 17 грудня 2025 р.
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
WebKit Bugzilla: 301371
CVE-2025-43501: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo з Epic Games
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-14174.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 302502
CVE-2025-43529: група аналізу загроз Google
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження даних у пам’яті. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-43529.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.
WebKit Bugzilla: 303614
CVE-2025-14174: група з аналізу загроз Apple і Google
WebKit Web Inspector
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 300926
CVE-2025-43511: 이동하 (Lee Dong Ha з BoB 14th)
Додаткова подяка
Safari
Дякуємо за допомогу Mochammad Nosa Shandy Prastyo.
WebKit
Дякуємо за допомогу Geva Nurgandi Syahputra (gevakun).
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.