Safari 18.6安全更新:修复多个内存损坏与XSS漏洞

苹果发布Safari 18.6安全更新,修复libxml2/libxslt内存损坏、WebKit跨站脚本(XSS)、地址栏欺骗等15个高危漏洞,涉及Google Project Zero等多个安全团队披露的问题。

安全更新概述

Safari 18.6针对以下漏洞进行了修复,安全详情可参考Apple支持页面

核心漏洞修复

libxml2

  • 影响系统:macOS Ventura及Sonoma
  • 漏洞影响:文件处理可能导致内存损坏
  • CVE编号:CVE-2025-7425
  • 发现者:Google Project Zero团队Sergei Glazunov

libxslt

  • 影响系统:macOS Ventura及Sonoma
  • 漏洞影响:恶意网页内容处理可能导致内存损坏
  • CVE编号:CVE-2025-7424
  • 发现者:Google Project Zero团队Ivan Fratric

Safari浏览器

  • 漏洞影响:恶意网页内容可导致浏览器意外崩溃
  • 修复方式:改进逻辑检查机制
  • CVE编号:CVE-2025-24188
  • 发现者:Nosebeard Labs团队

WebKit引擎关键修复

  1. 跨站脚本(XSS)

    • CVE编号:CVE-2025-43229
    • 发现者:Fingerprint团队Martin Bajanik
    • 修复方式:增强状态管理机制

  2. 地址栏欺骗

    • CVE编号:CVE-2025-43228
    • 发现者:Jaydev Ahire
    • 修复方式:改进用户界面验证

  3. 内存处理漏洞集群

    • 关联CVE
      • CVE-2025-31278(内存损坏)
      • CVE-2025-43214(释放后重用)
      • CVE-2025-43265(越界读取)
    • 共同修复方式:强化内存处理与输入验证

致谢名单

  • Google Project Zero团队
  • Trend Micro零日计划
  • DEVCORE研究团队
  • Google V8安全团队

更新获取

用户可通过Mac App Store下载Safari 18.6更新,完整安全公告见Apple安全发布页

本文档签名验证可通过Apple PGP公钥进行校验。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次