关于 Safari 浏览器 26.4 的安全性内容

这篇文稿介绍了 Safari 浏览器 26.4 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。“Apple 安全性发布”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

Safari 浏览器 26.4

WebKit

适用于：macOS Sonoma 和 macOS Sequoia

影响：处理恶意制作的网页内容可能会导致内容安全策略无法得以实施

描述：已通过改进状态管理解决这个问题。

CVE-2026-20665：webb

WebKit

适用于：macOS Sonoma 和 macOS Sequoia

影响：处理恶意制作的网页内容可能会绕过同源策略

描述：已通过改进输入验证解决 Navigation API 中的跨源问题。

CVE-2026-20643：Thomas Espach

WebKit

适用于：macOS Sonoma 和 macOS Sequoia

影响：访问恶意制作的网站可能会导致跨站点脚本攻击

描述：已通过改进检查解决逻辑问题。

CVE-2026-28871：@hamayanhamayan

WebKit

适用于：macOS Sonoma 和 macOS Sequoia

影响：处理恶意制作的网页内容可能会导致进程意外崩溃

描述：已通过改进内存处理解决这个问题。

CVE-2026-20664：Daniel Rhea、Söhnke Benedikt Fischedick (Tripton)、Emrovsky & Switch、Yevhen Pervushyn

CVE-2026-28857：Narcis Oliveras Fontàs、Söhnke Benedikt Fischedick (Tripton)、Daniel Rhea、Nathaniel Oh (@calysteon)

WebKit

适用于：macOS Sonoma 和 macOS Sequoia

影响：恶意网站或许能够访问适用于其他源的脚本信息处理程序

描述：已通过改进状态管理解决逻辑问题。

CVE-2026-28861：蚂蚁集团基础设施安全团队的 Hongze Wu 和 Shuaike Dong

WebKit

适用于：macOS Sonoma 和 macOS Sequoia

影响：恶意网站或许能够在沙盒之外处理受到限制的网页内容

描述：已通过改进内存处理解决这个问题。

CVE-2026-28859：greenbynox、Arni Hardarson

WebKit Sandboxing

适用于：macOS Sonoma 和 macOS Sequoia

影响：恶意制作的网页或许能够对用户创建独一无二的描述信息

描述：已通过改进状态管理解决授权问题。

CVE-2026-20691：Gongyu Ma (@Mezone0)

特别鸣谢

Safari

由衷感谢 @RenwaX23、Bikesh Parajuli、Farras Givari、Syarif Muhammad Sajjad、Yair 为我们提供的协助。

Web Extensions

由衷感谢 Carlos Jeurissen、Rob Wu (robwu.nl) 为我们提供的协助。

WebKit

由衷感谢 Vamshi Paili 为我们提供的协助。

WebKit Process Model

由衷感谢 Joseph Semaan 为我们提供的协助。