Safari 26.5 è arrivato con un carico piuttosto pesante di correzioni di sicurezza, e vale la pena capire cosa c’è dentro. Apple ha pubblicato l’elenco completo delle patch incluse in questo aggiornamento del browser, e tra le varie voci spicca una vulnerabilità WebKit che, in teoria, avrebbe potuto consentire a contenuti web creati ad hoc di rivelare informazioni sensibili degli utenti. Non esattamente una cosa da prendere alla leggera.
L’aggiornamento, disponibile per macOS Sonoma e macOS Sequoia, arriva a pochi giorni dal rilascio di iOS 26.5 e delle relative versioni per iPadOS e macOS. Apple aveva già condiviso i dettagli di sicurezza per quei sistemi operativi, ma il bollettino specifico per Safari 26.5 è stato diffuso separatamente.
Venti falle WebKit e un problema WebRTC
I numeri parlano abbastanza chiaro: Safari 26.5 porta con sé la correzione di 20 vulnerabilità legate a WebKit, il motore di rendering che sta alla base del browser di Apple. A queste si aggiunge un problema relativo a WebRTC che poteva causare un crash inatteso del processo.
Tra le falle più rilevanti, ce n’è una (identificata come CVE-2026-28962) che riguardava la possibile divulgazione di dati utente sensibili durante l’elaborazione di contenuti web malevoli. Il problema è stato risolto migliorando le restrizioni di accesso, e alla scoperta hanno contribuito diversi ricercatori indipendenti.
Altre vulnerabilità affrontate in questo aggiornamento riguardano scenari in cui contenuti web costruiti con intento malevolo potevano aggirare la Content Security Policy, cioè quel meccanismo che dovrebbe impedire l’esecuzione di codice non autorizzato all’interno delle pagine. Due distinte falle (CVE-2026-43660 e CVE-2026-28907) rientrano in questa categoria, entrambe segnalate dal team Cantina.
Non mancano poi diverse vulnerabilità di tipo use-after-free, un classico problema di gestione della memoria che poteva portare a crash improvvisi di Safari. Alcune di queste, come CVE-2026-28947 e CVE-2026-28942, potevano provocare la chiusura inattesa dell’intero browser, non solo del singolo processo in background.
Un dettaglio curioso: tra i ricercatori accreditati per la scoperta di CVE-2026-28942 compaiono Milad Nasr e Nicholas Carlini “with Claude, Anthropic”, il che suggerisce che anche strumenti di intelligenza artificiale vengono ormai impiegati nella ricerca di bug di sicurezza.
Perché aggiornare subito Safari 26.5
C’è poi una falla (CVE-2026-28958) che avrebbe potuto permettere a un’app di accedere a dati sensibili dell’utente, risolta con una protezione dei dati migliorata. E un’altra ancora (CVE-2026-28971) legata agli iframe malevoli, che potevano sfruttare le impostazioni di download di un altro sito web. In quel caso, Apple ha corretto il comportamento dell’interfaccia utente.
Il problema WebRTC (CVE-2026-28944), segnalato tra gli altri da Kenneth Hsu di Palo Alto Networks, riguardava invece un crash di processo causato da contenuti web appositamente confezionati, risolto migliorando la gestione della memoria.
