Appleが、Safari 26.5に含まれるセキュリティ修正の全容を公開しました。WebKitの脆弱性20件と、WebRTCに関する問題1件が含まれており、悪意あるWebページを開いただけで個人データが漏えいしたり、Safariがクラッシュしたりする可能性が指摘されています。対象環境を使うユーザーは早めの適用が推奨されます。
Webページを開くだけで情報漏えい——20件のWebKit脆弱性
今回AppleがSafari 26.5向けに公開したセキュリティコンテンツでは、WebKit関連の脆弱性が合計20件、加えてWebRTCに関する不具合が1件修正されています。対象プラットフォームは macOS Sonoma および macOS Sequoia です。
主な影響は以下のように分類されます。
- Content Security Policy(CSP)の回避: 悪意あるWebコンテンツの処理時にCSPが適用されず、本来ブロックされるはずのスクリプト実行や外部読み込みが通ってしまう恐れ
- 個人データの漏えい: アクセス制限の不備により、機微なユーザー情報が露出する可能性
- Safari/プロセスの予期しないクラッシュ: メモリ管理・入力検証の問題に起因し、ブラウジング中の強制終了につながる
- iframeの不正利用: 悪意あるiframeが他サイトのダウンロード設定を流用する可能性があり、ユーザーが意図しないファイル取得につながり得る
- アプリからの機微データアクセス: データ保護の改善により対処
今週初めにAppleはiOS 26.5、iPadOS 26.5、macOS 26.5などをリリースしており、Safari 26.5のセキュリティ修正は、これらに続いて単独で公開された形です。
Use-after-freeやiframe悪用——主な修正項目
特に影響が大きいと考えられる修正をいくつか取り上げます。
| 種類 | 影響 | 対策内容 |
|---|---|---|
| WebKit (CVE-2026-28962 ほか) | 悪意あるWebコンテンツが機微情報を開示する可能性 | アクセス制限の改善 |
| WebKit (CVE-2026-43658 ほか) | Safariの予期しないクラッシュ | メモリ処理の改善 |
| WebKit (CVE-2026-28883 / 28947 / 28946 / 28942) | Use-after-free によるプロセス/Safariクラッシュ | メモリ管理の改善 |
| WebKit (CVE-2026-28971) | 悪意あるiframeが他サイトのダウンロード設定を使用する可能性 | UI処理の改善 |
| WebRTC (CVE-2026-28944) | 悪意あるWebコンテンツによる予期しないプロセスクラッシュ | メモリ処理の改善 |
報告者には多数の研究者・組織が名を連ねています。CVE-2026-28942はAnthropicのClaudeを用いてMilad Nasr氏とNicholas Carlini氏が報告したものとして記載されており、またTrendAI Zero Day Initiative経由で報告された案件も複数含まれています。このほかCantina、Luke Francis氏、Vaagn Vardanian氏、kwak kiyong氏(kakaogames)、Vitaly Simonovich氏、iVerify.ioのMateusz Krzywicki氏、Talence SecurityのTristan Madani氏、Palo Alto NetworksのKenneth Hsu氏らが報告者として記載されています。
CSP回避やiframe悪用は、ユーザーから見れば「普通のサイトを見ていただけなのにスクリプトが通る/勝手にダウンロード設定が使われる」という被害として現れる可能性があるため、ブラウザの最新化が実質的な防御線になります。
できるだけ早めにSafari 26.5へ——ユーザーが取るべき行動
今回の修正は、いずれも「悪意あるWebコンテンツを処理した場合」に発生する可能性のあるリスクが中心です。日常的にWebブラウジングを行うMacユーザーであれば、影響を受け得る範囲は広いと考えられます。
- 対応環境: macOS Sonoma または macOS Sequoia
- 対応: Safari 26.5 へアップデート
- 推奨度: Safari 26.5に対応するMacを使っているなら、できるだけ早めに最新版へ更新するのが望ましいとされています
個人データの漏えい・iframeを介したダウンロード設定の悪用・複数のクラッシュ系問題と、複数の脆弱性が一度に塞がれているため、早めに適用しておきたい更新です。
Safari 26.5の遅延リリースが招いた「実質0-day」状態
今回のSafari 26.5は、macOS Tahoe 26.5と同時に公開されなかったことが大きな論点になっています。前回のSafari 26.4については、macOS Tahoe 26.4と同じ3月24日にSequoiaおよびSonoma向けにもリリースされていました。一方で5月のサイクルでは事情が異なり、Safari 26.5はSequoia/Sonoma向けには当初リリースされず、macOS Tahoe 26.5のみが先行して公開される形になっています。
修正情報の公開と未パッチ環境のリスク
問題は情報の非対称性です。macOS Tahoe 26.5のセキュリティコンテンツに列挙されたWebKit脆弱性は、未パッチのSequoia/Sonoma上のSafari 26.4にとっては実質的に0-day状態になっていました。
攻撃者は脆弱性の説明を読み、バイナリの差分から修正をリバースエンジニアリングしてエクスプロイトを開発できる可能性があります。
その後、AppleはようやくSafari 26.5をSonoma/Sequoia向けに公開しています。同時リリースが守られなかった点は、今後のセキュリティ運用上の懸念として残されています。
5月11日リリース全体での修正規模と関連アップデート
Safari 26.5の単独公開は、5月初旬の大規模アップデートサイクルの一部に位置づけられます。Appleは5月11日にiOS 26.5、iPadOS 26.5、macOS 26.5、watchOS 26.5などを一斉公開し、iOS 26.5だけで50件超のセキュリティ修正が含まれています。
同日にリリースされた旧バージョン向けアップデート
旧世代デバイスのカバレッジも広範です。
- 旧バージョン向け: macOS Sequoia 15.7.7、macOS Sonoma 14.8.7、iOS 18.7.9、iPadOS 18.7.9、iPadOS 17.7.11、iOS 16.7.16、iOS 15.8.8
- macOS Tahoe 26.5には特権昇格、サンドボックス脱出、Gatekeeperバイパス、カーネルレベルのコード実行などの修正が含まれています
- 今回のアドバイザリでは実際に悪用されている脆弱性は特定されていません
WebKitはSafariだけでなくMailやApp Storeのプレビューなど広範な領域で使われるため、ブラウザ単体ではなくシステム全体での更新適用が重要になります。
Q&A
Q. Safari 26.5は何件の脆弱性を修正していますか? WebKit関連の脆弱性が20件、WebRTCの問題が1件修正されています。
Q. 対象となるmacOSのバージョンは? Appleのセキュリティコンテンツでは、macOS SonomaとmacOS Sequoiaが対象として明記されています。
Q. どのような被害が想定されていましたか? 悪意あるWebコンテンツの処理によって、Content Security Policyの不適用、ユーザー情報の漏えい、Safariやプロセスの予期しないクラッシュなどが発生する可能性があるとされています。
