關於 Safari 26.4 的安全性內容

本文說明 Safari 26.4 的安全性內容。

關於 Apple 安全性更新

為保障客戶的安全，Apple 在進行調查並提供修補程式或版本之前，不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性發佈」頁面上。

Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。

如需安全性的詳細資訊，請參閱「Apple 產品安全性」頁面。

Safari 26.4

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：處理惡意製作的網頁內容可能導致內容安全性規則無法執行

說明：改進狀態管理機制後，已解決此問題。

CVE-2026-20665：webb

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：處理惡意製作的網頁內容或許可以規避「相同來源政策」

說明：改進輸入驗證機制後，已解決 Navigation API 的跨來源問題。

CVE-2026-20643：Thomas Espach

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：參訪惡意製作的網站可能導致跨網站工序指令攻擊

說明：改進檢查機制後，已解決邏輯問題。

CVE-2026-28871：@hamayanhamayan

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：處理惡意製作的網頁內容可能導致程序意外當機

說明：改進記憶體處理機制後，已解決此問題。

CVE-2026-20664：Daniel Rhea、Söhnke Benedikt Fischedick (Tripton)、Emrovsky 與 Switch、Yevhen Pervushyn

CVE-2026-28857：Narcis Oliveras Fontàs、Söhnke Benedikt Fischedick (Tripton)、Daniel Rhea、Nathaniel Oh (@calysteon)

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：惡意網站或許可以存取供其他來源使用的工序指令訊息處理器

說明：改進狀態管理機制後，已解決邏輯問題。

CVE-2026-28861：Ant Group Infrastructure Security Team 的 Hongze Wu 和 Shuaike Dong

WebKit

適用於：macOS Sonoma 和 macOS Sequoia

影響：惡意網站或許可以在沙箱外處理受限制的網頁內容

說明：改進記憶體處理機制後，已解決此問題。

CVE-2026-28859：greenbynox、Arni Hardarson

WebKit Sandboxing

適用於：macOS Sonoma 和 macOS Sequoia

影響：惡意製作的網頁或許可以建立使用者的獨有識別資料

說明：改進狀態管理機制後，已解決授權的問題。

CVE-2026-20691：Gongyu Ma (@Mezone0)

特別鳴謝

Safari

我們要感謝 @RenwaX23、Bikesh Parajuli、Farras Givari、Syarif Muhammad Sajjad、Yair 提供協助。

Web Extensions

我們要感謝 Carlos Jeurissen、Rob Wu (robwu.nl) 提供協助。

WebKit

我們要感謝 Vamshi Paili 提供協助。

WebKit Process Model

我們要感謝 Joseph Semaan 提供協助。