Safari 18のセキュリティコンテンツについて

Safari 18のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

Safari 18

Safari

対象：macOS VenturaおよびmacOS Sonoma

影響：悪意を持って作成されたWebコンテンツが、iframeのサンドボックス化ポリシーに違反する可能性がある。

説明：入力検証を強化し、カスタムURLスキームの処理における脆弱性に対処しました。

CVE-2024-44155：Suma Soft Pvt.Ltd.（インド、プネー）のCyber Securityのマネージャ、Narendra Bhati氏（twitter.com/imnarendrabhati）

Safari Private Browsing

対象：macOS VenturaおよびmacOS Sonoma

影響：プライベートブラウズのタブに、認証されないままアクセスできる可能性がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2024-44202：Kenneth Chew氏

WebKit

対象：macOS VenturaおよびmacOS Sonoma

影響：悪意のあるWebサイトにアクセスすると、アドレスバーを偽装される可能性がある。

説明：UIを改善することで、この問題を解決しました。

CVE-2024-40866：HakTrakのHafiizh氏とYoKo Kho氏（@yokoacc）

WebKit

対象：macOS VenturaおよびmacOS Sonoma

影響：悪意のあるWebサイトに、データをクロスオリジンで取得される可能性がある。

説明："iframe" 要素にクロスオリジンの脆弱性がありました。この問題は、セキュリティオリジンの追跡を強化することで解決されました。

CVE-2024-44187：Suma Soft Pvt. Ltd.（インド、プネー）のNarendra Bhati氏（twitter.com/imnarendrabhati）

WebKit

対象：macOS VenturaおよびmacOS Sonoma

影響：悪意を持って作成されたWebコンテンツを処理すると、ユニバーサルクロスサイトスクリプティング攻撃につながるおそれがある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-40857：Ron Masas氏

ご協力いただいたその他の方々

Safari

HakTrakのHafiizh氏およびYoKo Kho氏（@yokoacc）のご協力に感謝いたします。

WebKit

Eli Grey氏（eligrey.com）のご協力に感謝いたします。