Проблеми системи безпеки, які усунено в оновленні Safari 26.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 26.2.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
Safari 26.2
Дата випуску: 12 грудня 2025 р.
Safari
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: На комп’ютері Mac із увімкненим режимом карантину вебконтент, відкритий через URL-адресу файлу, може отримати доступ до інтерфейсів веб-API, які мали б бути обмежені
Опис: проблему усунено завдяки вдосконаленню перевірки URL-адреси.
CVE-2025-43526: Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs
Safari Downloads
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: джерело завантаження може неправильно визначатися.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-8906: @retsew0x01
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему усунуто завдяки додатковим перевіркам дозволів.
WebKit Bugzilla: 295941
CVE-2025-46282: Wojciech Regula із SecuRing (wojciechregula.blog)
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.
WebKit Bugzilla: 301257
CVE-2025-43541: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 301726
CVE-2025-43536: Nan Wang (@eternalsakura13)
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 300774
CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)
WebKit Bugzilla: 301468
CVE-2025-46298: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative», Nan Wang (@eternalsakura13)
Запис оновлено 9 січня 2026 р.
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
WebKit Bugzilla: 301371
CVE-2025-43501: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo з Epic Games
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-14174.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 302502
CVE-2025-43529: група аналізу загроз Google
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження даних у пам’яті. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-43529.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.
WebKit Bugzilla: 303614
CVE-2025-14174: група з аналізу загроз Apple і Google
WebKit
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до розкриття внутрішніх станів програми.
Опис: проблему з ініціалізацією пам’яті вирішено завдяки вдосконаленню обробки звернень до пам’яті.
WebKit Bugzilla: 299518
CVE-2025-46299: проєкт Big Sleep від Google
Запис додано 9 січня 2026 р.
WebKit Web Inspector
Цільові продукти: macOS Sonoma та macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 300926
CVE-2025-43511: 이동하 (Lee Dong Ha з BoB 14th)
Додаткова подяка
Safari
Дякуємо за допомогу Mochammad Nosa Shandy Prastyo.
WebKit
Дякуємо за допомогу Geva Nurgandi Syahputra (gevakun) і проєкту Big Sleep від Google.
Запис оновлено 9 січня 2026 р.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.