关于 Safari 浏览器 26.5 的安全性内容
这篇文稿介绍了 Safari 浏览器 26.5 的安全性内容。
关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。“Apple 安全性发布”页面上列出了近期发布的版本。
Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。
有关安全性的更多信息,请参阅“Apple 产品安全性”页面。
Safari 浏览器 26.5
发布日期:2026 年 5 月 13 日
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会导致内容安全策略无法得以实施
描述:已通过改进逻辑解决验证问题。
WebKit Bugzilla:308906
CVE-2026-43660:Cantina
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会导致内容安全策略无法得以实施
描述:已通过改进输入验证解决这个问题。
WebKit Bugzilla:308675
CVE-2026-28907:Cantina
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会泄露敏感用户信息
描述:已通过改进访问限制解决这个问题。
WebKit Bugzilla:309698
CVE-2026-28962:Luke Francis、Vaagn Vardanian、kwak kiyong/kakaogames、Vitaly Simonovich、Adel Bouachraoui、greenbynox
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会导致 Safari 浏览器意外崩溃
描述:已通过改进内存处理解决这个问题。
WebKit Bugzilla:307669
CVE-2026-43658:Do Young Park
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会导致进程意外崩溃
描述:已通过改进内存处理解决这个问题。
WebKit Bugzilla:308545
CVE-2026-28905:Yuhao Hu、Yuanming Lai、Chenggang Wu 和 Zhe Wang
WebKit Bugzilla:308707
CVE-2026-28847:DARKNAVY (@DarkNavyOrg)、匿名研究人员与 TrendAI Zero Day Initiative 合作发现、Daniel Rhea
WebKit Bugzilla:309601
CVE-2026-28904:Luka Rački
WebKit Bugzilla:310880
CVE-2026-28955:wac 和 Kookhwan Lee 与 TrendAI Zero Day Initiative 合作发现
WebKit Bugzilla:310303
CVE-2026-28903:Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla:309628
CVE-2026-28953:Maher Azzouzi
WebKit Bugzilla:309861
CVE-2026-28902:Talence Security 的 Tristan Madani (@TristanInSec)、Nathaniel Oh (@calysteon)
WebKit Bugzilla:310207
CVE-2026-28901:Aisle 进攻性安全研究团队(Joshua Rogers、Luigino Camastra、Igor Morgenstern 和 Guido Vranken)、Maher Azzouzi、Calif.io 的 Ngan Nguyen
WebKit Bugzilla:311631
CVE-2026-28913:一位匿名研究人员
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会导致进程意外崩溃
描述:已通过改进内存管理解决“释放后使用”问题。
WebKit Bugzilla:313939
CVE-2026-28883:kwak kiyong/kakaogames
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:App 或许能够访问敏感的用户数据
描述:已通过改进数据保护解决这个问题。
WebKit Bugzilla:311228
CVE-2026-28958:Cantina
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会导致进程意外崩溃
描述:已通过改进输入验证解决这个问题。
WebKit Bugzilla:310527
CVE-2026-28917:Vitaly Simonovich
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会导致 Safari 浏览器意外崩溃
描述:已通过改进内存管理解决“释放后使用”问题。
WebKit Bugzilla:310234
CVE-2026-28947:dr3dd
WebKit Bugzilla:310544
CVE-2026-28946:Calif.io 的 Gia Bui (@yabeow)、dr3dd、w0wbox
WebKit Bugzilla:312180
CVE-2026-28942:Milad Nasr 和 Nicholas Carlini(借助 Anthropic 的 Claude)
WebKit
适用于:macOS Sonoma 和 macOS Sequoia
影响:恶意 iframe 可能会使用其他网站的下载设置
描述:已通过改进 UI 处理解决这个问题。
CVE-2026-28971:Khiem Tran
WebKit Bugzilla:311288
WebRTC
适用于:macOS Sonoma 和 macOS Sequoia
影响:处理恶意制作的网页内容可能会导致进程意外崩溃
描述:已通过改进内存处理解决这个问题。
WebKit Bugzilla:311131
CVE-2026-28944:Palo Alto Networks 的 Kenneth Hsu、Jérôme DJOUDER、dr3dd
特别鸣谢
Safari
由衷感谢 sean mutuku 为我们提供的协助。
Safari Push Notifications
由衷感谢 Robert Mindo 为我们提供的协助。
WebKit
由衷感谢 Muhammad Zaid Ghifari (Mr.ZheeV)、Kalimantan Utara、Qadhafy Muhammad Tera、Vitaly Simonovich 为我们提供的协助。
WebRTC
由衷感谢 Demon Team 的 Hyeonji Son (@jir4vv1t) 为我们提供的协助。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。