关于 Safari 浏览器 18.4 的安全性内容

这篇文稿介绍了 Safari 浏览器 18.4 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。“Apple 安全性发布”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

Safari 浏览器 18.4

Authentication Services

适用于：macOS Ventura 和 macOS Sonoma

影响：恶意网站或许能够从共享可注册后缀的另一个网站索取 WebAuthn 凭证

描述：已通过改进输入验证解决这个问题。

CVE-2025-24180：Google Chrome 的 Martin Kreichgauer

Safari

适用于：macOS Ventura 和 macOS Sonoma

影响：网站或许能够绕过同源策略

描述：已通过改进状态管理解决这个问题。

CVE-2025-30466：Jaydev Ahire、@RenwaX23

Safari

适用于：macOS Ventura 和 macOS Sonoma

影响：访问恶意网站可能会导致用户界面欺诈问题

描述：已通过改进 UI 解决这个问题。

CVE-2025-24113：@RenwaX23

Safari

适用于：macOS Ventura 和 macOS Sonoma

影响：访问恶意网站可能会导致地址栏欺诈

描述：已通过改进检查解决这个问题。

CVE-2025-30467：@RenwaX23

Safari

适用于：macOS Ventura 和 macOS Sonoma

影响：网站在未经用户同意的情况下或许能够访问感应器信息

描述：已通过改进检查解决这个问题。

CVE-2025-31192：Jaydev Ahire

Safari

适用于：macOS Ventura 和 macOS Sonoma

影响：下载来源可能会被错误地关联

描述：已通过改进状态管理解决这个问题。

CVE-2025-24167：Syarif Muhammad Sajjad

Web Extensions

适用于：macOS Ventura 和 macOS Sonoma

影响：App 或许能够在未经授权的情况下访问本地网络

描述：以通过改进许可检查解决这个问题。

CVE-2025-31184：TU Darmstadt SEEMOO 的 Alexander Heinrich (@Sn0wfreeze)，以及 KU Leuven DistriNet 的 Mathy Vanhoef (@vanhoefm) 和 Jeroen Robben (@RobbenJeroen)

Web Extensions

适用于：macOS Ventura 和 macOS Sonoma

影响：访问网站可能会泄露敏感数据

描述：已通过改进隔离解决脚本导入问题。

CVE-2025-24192：Solidlab 的 Vsevolod Kokorin (Slonser)

WebKit

适用于：macOS Ventura 和 macOS Sonoma

影响：处理恶意制作的网页内容可能会导致 Safari 浏览器意外崩溃

描述：已通过改进内存处理解决这个问题。

CVE-2025-24264：Gary Kwong，以及一位匿名研究人员

CVE-2025-24216：ParagonERP 的 Paul Bakker

WebKit

适用于：macOS Ventura 和 macOS Sonoma

影响：处理恶意制作的网页内容可能会导致进程意外崩溃

描述：已通过改进内存处理解决缓冲区溢出问题。

CVE-2025-24209：Francisco Alonso (@revskills)，以及一位匿名研究人员

WebKit

适用于：macOS Ventura 和 macOS Sonoma

影响：载入恶意 iframe 可能会导致跨站点脚本攻击

描述：已通过实施额外的限制解决权限问题。

CVE-2025-24208：Muhammad Zaid Ghifari (Mr.ZheeV) 和 Kalimantan Utara

WebKit

适用于：macOS Ventura 和 macOS Sonoma

影响：处理恶意制作的网页内容可能会导致 Safari 浏览器意外崩溃

描述：已通过改进内存管理解决“释放后使用”问题。

CVE-2025-30427：rheza (@ginggilBesel)

WebKit

适用于：macOS Ventura 和 macOS Sonoma

影响：恶意网站或许能够在 Safari 浏览器无痕浏览模式下跟踪用户

描述：已通过改进状态管理解决这个问题。

CVE-2025-30425：一位匿名研究人员

特别鸣谢

Safari

由衷感谢 George Bafaloukas (george.bafaloukas@pingidentity.com) 和 Shri Hunashikatti (sshpro9@gmail.com) 为我们提供的协助。

Safari Downloads

由衷感谢 FFRI Security, Inc. 的 Koh M. Nakagawa (@tsunek0h) 为我们提供的协助。

Safari Extensions

由衷感谢 Alisha Ukani、Pete Snyder、Alex C. Snoeren 为我们提供的协助。

Safari Private Browsing

由衷感谢 Charlie Robinson 为我们提供的协助。

WebKit

由衷感谢以下人员为我们提供的协助：Gary Kwong，Jesse Stolwijk，Junsung Lee，P1umer (@p1umer) 和 Q1IQ (@q1iqF)，香港科技大学网络安全实验室的 Wai Kin Wong、Dongwei Xiao、Shuai Wang 和 Daoyuan Wu，VXRL 的 Anthony Lai (@darkfloyd1014)，香港科技大学网络安全实验室的 Wong Wai Kin、Dongwei Xiao 和 Shuai Wang，VXRL 的 Anthony Lai (@darkfloyd1014)，腾讯安全云鼎实验室的 Xiangwei Zhang，냥냥 以及一位匿名研究人员。