Проблема перекрестного происхождения в API навигации решена путем улучшенной проверки ввода. Эта проблема исправлена в разделе «Улучшения фоновой безопасности» для iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 и macOS 26.3.2. Обработка вредоносного веб-контента может обойти политику одинакового происхождения.
Показать оригинальное описание (EN)
A cross-origin issue in the Navigation API was addressed with improved input validation. This issue is fixed in Background Security Improvements for iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1, and macOS 26.3.2. Processing maliciously crafted web content may bypass Same Origin Policy.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apple Ipados
cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:*
|
— |
26.3.1
|
|
Apple Iphone_Os
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*
|
— |
26.3.1
|
|
Apple Macos
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
|
— |
26.3.1
|