关于 Safari 浏览器 26.2 的安全性内容

这篇文稿介绍了 Safari 浏览器 26.2 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。“Apple 安全性发布”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

有关安全性的更多信息,请参阅“Apple 产品安全性”页面。

Safari 浏览器 26.2

发布日期:2025 年 12 月 12 日

Safari

适用于:macOS Sonoma 和 macOS Sequoia

影响:在启用了“锁定模式”的 Mac 上,通过文件 URL 打开的网页内容或许能够使用本该受到限制的网页 API

描述:已通过改进 URL 验证解决这个问题。

CVE-2025-43526:Nosebeard Labs 的 Andreas Jaegersberger 和 Ro Achterberg

Safari Downloads

适用于:macOS Sonoma 和 macOS Sequoia

影响:下载来源可能会被错误地关联

描述:这是开源代码中的一个漏洞,Apple 软件也在受影响的项目之列。这个 CVE-ID 由第三方分配。如需详细了解这个问题和 CVE-ID,请访问 cve.org

CVE-2024-8906:@retsew0x01

WebKit

适用于:macOS Sonoma 和 macOS Sequoia

影响:App 或许能够访问敏感的用户数据

描述:已通过额外权限检查解决这个问题。

WebKit Bugzilla:295941

CVE-2025-46282:SecuRing 的 Wojciech Regula (wojciechregula.blog)

WebKit

适用于:macOS Sonoma 和 macOS Sequoia

影响:处理恶意制作的网页内容可能会导致 Safari 浏览器意外崩溃

描述:已通过改进状态处理解决类型混淆问题。

WebKit Bugzilla:301257

CVE-2025-43541:Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)

WebKit

适用于:macOS Sonoma 和 macOS Sequoia

影响:处理恶意制作的网页内容可能会导致进程意外崩溃

描述:已通过改进内存管理解决“释放后使用”问题。

WebKit Bugzilla:301726

CVE-2025-43536:Nan Wang (@eternalsakura13)

WebKit

适用于:macOS Sonoma 和 macOS Sequoia

影响:处理恶意制作的网页内容可能会导致进程意外崩溃

描述:已通过改进内存处理解决这个问题。

WebKit Bugzilla:300774

CVE-2025-43535:Google Big Sleep 以及 Nan Wang (@eternalsakura13)

条目更新于 2025 年 12 月 17 日

WebKit

适用于:macOS Sonoma 和 macOS Sequoia

影响:处理恶意制作的网页内容可能会导致进程意外崩溃

描述:已通过改进内存处理解决缓冲区溢出问题。

WebKit Bugzilla:301371

CVE-2025-43501:Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)

WebKit

适用于:macOS Sonoma 和 macOS Sequoia

影响:处理恶意制作的网页内容可能会导致进程意外崩溃

描述:已通过改进状态处理解决竞态条件问题。

WebKit Bugzilla:301940

CVE-2025-43531:Epic Games 的 Phil Pizlo

WebKit

适用于:macOS Sonoma 和 macOS Sequoia

影响:处理恶意制作的网页内容可能会导致任意代码执行。有报告指出,在针对 iOS 26 之前的 iOS 版本上的特定目标个人所发起的极复杂攻击中,这个问题可能已经遭到利用;Apple 已知晓这一报告。CVE-2025-14174 也是基于这份报告发布的。

描述:已通过改进内存管理解决“释放后使用”问题。

WebKit Bugzilla:302502

CVE-2025-43529:Google Threat Analysis Group

WebKit

适用于:macOS Sonoma 和 macOS Sequoia

影响:处理恶意制作的网页内容可能会导致内存损坏。有报告指出,在针对 iOS 26 之前的 iOS 版本上的特定目标个人所发起的极复杂攻击中,这个问题可能已经遭到利用;Apple 已知晓这一报告。CVE-2025-43529 也是基于这份报告发布的。

描述:已通过改进验证解决内存损坏问题。

WebKit Bugzilla:303614

CVE-2025-14174:Apple 和 Google Threat Analysis Group

WebKit Web Inspector

适用于:macOS Sonoma 和 macOS Sequoia

影响:处理恶意制作的网页内容可能会导致进程意外崩溃

描述:已通过改进内存管理解决“释放后使用”问题。

WebKit Bugzilla:300926

CVE-2025-43511:이동하(BoB 14th 的 Lee Dong Ha)

特别鸣谢

Safari

由衷感谢 Mochammad Nosa Shandy Prastyo 为我们提供的协助。

WebKit

由衷感谢 Geva Nurgandi Syahputra (gevakun) 为我们提供的协助。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: