關於 Safari 26.3 的保安內容

本文說明 Safari 26.3 的保安內容。

關於 Apple 保安更新

為保障顧客的安全，在完成調查並提供修補程式或更新版本之前，Apple 將不會披露、討論或確認保安問題。最近更新版本已列於 Apple 保安發佈網頁。

Apple 保安文件會盡可能參照 CVE-ID 的保安漏洞。

有關保安的詳情，請參閱 Apple 產品保安網頁。

Safari 26.3

CFNetwork

適用於：macOS Sonoma 和 macOS Sequoia

影響：遙距用戶可能得以寫入任意檔案

說明：改進邏輯機制後，已解決路徑處理問題。

CVE-2026-20660：Amy (amys.website)

Safari

適用於：macOS Sonoma 和 macOS Sequoia

影響：app 可能得以取用用户的 Safari 記錄

說明：改進驗證機制後，已解決邏輯問題。

CVE-2026-20656：Mickey Jin (@patch1t)

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：遙距攻擊者或可導致阻斷服務

說明：改進記憶體處理機制後，已解決此問題。

CVE-2026-20652：Nathaniel Oh (@calysteon)

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：處理惡意製作的網頁內容可能導致程序意外當機

說明：改進狀態管理機制後，已解決此問題。

CVE-2026-20608：TSDubhe 的 HanQing，以及 Nan Wang (@eternalsakura13)

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：網站可能得以透過 Safari 網頁延伸功能追蹤用戶

說明：改進狀態管理機制後，已解決此問題。

CVE-2026-20676：Tom Van Goethem

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：處理惡意製作的網頁內容可能導致程序意外當機

說明：改進記憶體處理機制後，已解決此問題。

CVE-2026-20644：TSDubhe 的 HanQing，以及 Nan Wang (@eternalsakura13)

CVE-2026-20636：EntryHi

CVE-2026-20635：EntryHi

特別鳴謝

WebKit

我們特此感謝 David Wood、EntryHi、Aisle Research 的 Luigino Camastra、Aisle Research 的 Stanislav Fort、Solidlab 的 Vsevolod Kokorin (Slonser)，以及 Jorian Woltjer 提供協助。