Informace o bezpečnostním obsahu macOS Sequoia 15.7.5
Tento dokument popisuje bezpečnostní obsah macOS Sequoia 15.7.5.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Sequoia 15.7.5
Vydáno 24. března 2026
802.1X
K dispozici pro: macOS Sequoia
Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit zachycovat síťový provoz.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)
Accounts
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2026-28877: Rosyna Keller z Totally Not Malicious Software
apache
K dispozici pro: macOS Sequoia
Dopad: Několik problémů v softwaru Apache.
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2025-55753
CVE-2025-58098
CVE-2025-59775
CVE-2025-65082
CVE-2025-66200
AppleKeyStore
K dispozici pro: macOS Sequoia
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-20637: Johnny Franks (zeroxjf), anonymní výzkumník
AppleMobileFileIntegrity
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2026-28824: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s downgradem ovlivňující počítače Mac s procesorem Intel byl vyřešen dodatečnými omezeními podepisování kódu.
CVE-2026-20699: Mickey Jin (@patch1t)
Audio
K dispozici pro: macOS Sequoia
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-28879: Justin Cohen ze společnosti Google
Audio
K dispozici pro: macOS Sequoia
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.
CVE-2026-28822: Jex Amro
Calling Framework
K dispozici pro: macOS Sequoia
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením vstupního ověřování.
CVE-2026-28894: anonymní výzkumník
CFNetwork
K dispozici pro: macOS Sequoia
Dopad: Vzdálenému uživateli se může podařit zapsat libovolné soubory.
Popis: Problém se zpracováním cest byl vyřešen vylepšením logiky.
CVE-2026-20660: Amy (amys.website)
Clipboard
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.
CVE-2026-28866: Cristian Dinca (icmd.tech)
configd
K dispozici pro: macOS Sequoia
Dopad: Zpracování škodlivého řetězce může vést k poškození haldy.
Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.
CVE-2026-20639: @cloudlldb z týmu @pixiepointsec
CoreMedia
K dispozici pro: macOS Sequoia
Dopad: Zpracování zvukového streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2026-20690: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
CoreServices
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: V kontrole oprávněnosti existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování oprávněnosti procesu.
CVE-2026-28821: YingQi Shi (@Mas0nShi) z laboratoře WeBin společnosti DBAppSecurity
CoreServices
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení pro sandbox.
CVE-2026-28838: anonymní výzkumník
CoreUtils
K dispozici pro: macOS Sequoia
Dopad: Uživateli s vysokými oprávněními v síti se může podařit způsobit odmítnutí služby.
Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.
CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)
CUPS
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit získat kořenová oprávnění.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2026-28888: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs
curl
K dispozici pro: macOS Sequoia
Dopad: V nástroji curl docházelo k problému, který mohl vést k neúmyslnému odesílání citlivých informací přes nesprávné připojení.
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2025-14524
DesktopServices
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením zpracování symbolických odkazů.
CVE-2026-20633: Mickey Jin (@patch1t)
DeviceLink
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.
CVE-2026-28876: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs
Diagnostics
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém se oprávněním byl vyřešen odebráním zranitelného kódu.
CVE-2026-28892: 风沐云烟 (@binary_fmyy) a Minghao Lin (@Y1nKoc)
File System
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28832: DARKNAVY (@DarkNavyOrg)
Focus
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.
CVE-2026-20668: Kirin (@Pwnrin)
GPU Drivers
K dispozici pro: macOS Sequoia
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2026-28834: anonymní výzkumník
iCloud
K dispozici pro: macOS Sequoia
Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2026-28880: Zhongcheng Li z IES Red Team
ImageIO
K dispozici pro: macOS Sequoia
Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2025-64505
Kernel
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.
CVE-2026-28868: 이동하 (Lee Dong Ha z BoB 0xB6)
Kernel
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém byl vyřešen vylepšením ověření.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Kernel
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.
Popis: Problém se zveřejněním informací byl vyřešen vylepšenou správou paměti.
CVE-2026-20695: 이동하 (Lee Dong Ha z BoB 0xB6) ve spolupráci s programem TrendAI Zero Day Initiative, hari shanmugam
Kernel
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-20687: Johnny Franks (@zeroxjf)
Kernel
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2026-28829: Sreejith Krishnan R
libxpc
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2026-20607: anonymní výzkumník
K dispozici pro: macOS Sequoia
Dopad: Volby „Skrýt IP adresu“ a „Blokovat veškerý vzdálený obsah“ se nemusí použít na veškerý obsah pošty.
Popis: Problém se soukromím byl vyřešen lepším zpracováváním uživatelských předvoleb.
CVE-2026-20692: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs
mDNSResponder
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém byl vyřešen vylepšením ověření.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Messages
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém se soukromím byl vyřešen lepším zpracováváním dočasných souborů.
CVE-2026-20651: Chunyu Song z NorthSea
MigrationKit
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením zpracování symbolických odkazů.
CVE-2026-20694: Rodolphe Brunetti (@eisw0lf) z Lupus Nova
NetAuth
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2026-28891: anonymní výzkumník
NetAuth
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit připojit k síťovému sdílení bez souhlasu uživatele.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2026-20701: Matěj Moravec (@MacejkoMoravec)
NetAuth
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2026-28839: Mickey Jin (@patch1t)
NetFSFramework
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.
CVE-2026-28827: Csaba Fitzl (@theevilbit) z Iru, anonymní výzkumník
Notes
K dispozici pro: macOS Sequoia
Dopad: Aplikace může být schopna odstranit soubory, pro které nemá oprávnění.
Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.
CVE-2026-28816: Dawuge z Shuffle Team a Hunan University
PackageKit
K dispozici pro: macOS Sequoia
Dopad: Útočníkovi s kořenovými oprávněními se může podařit smazat chráněné systémové soubory.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2026-20693: Mickey Jin (@patch1t)
Phone
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)
Printing
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2026-28831: anonymní výzkumník
Printing
K dispozici pro: macOS Sequoia
Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2026-28817: Gyujeong Jin (@G1uN4sh) v Team.0xb6
Printing
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.
CVE-2026-20688: wdszzml a Atuin Automated Vulnerability Discovery Engine
Security
K dispozici pro: macOS Sequoia
Dopad: Místní útočník může získat přístup k položkám v uživatelově klíčence.
Popis: Problém byl vyřešen vylepšením kontroly oprávnění.
CVE-2026-28864: Alex Radocea
SMB
K dispozici pro: macOS Sequoia
Dopad: Připojení škodlivého síťového úložiště SMB může vést k ukončení systému.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-28835: Christian Kohlschütter
SMB
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28825: Sreejith Krishnan R
Spotlight
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s downgradem ovlivňující počítače Mac s procesorem Intel byl vyřešen dodatečnými omezeními podepisování kódu.
CVE-2026-20699: Mickey Jin (@patch1t)
Spotlight
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.
CVE-2026-28818: @pixiepointsec
Spotlight
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2026-20697: @pixiepointsec
TCC
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém se oprávněním byl vyřešen odebráním zranitelného kódu.
CVE-2026-28828: Mickey Jin (@patch1t)
UIFoundation
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupů.
CVE-2026-28852: Caspian Tarafdar
Vision
K dispozici pro: macOS Sequoia
Dopad: Parsování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2026-20657: Andrew Becker
WebDAV
K dispozici pro: macOS Sequoia
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2026-28829: Sreejith Krishnan R
Další poděkování
Admin Framework
Poděkování za pomoc zaslouží Sota Toyokura.
CoreServices
Poděkování za pomoc zaslouží YingQi Shi (@Mas0nShi) z laboratoře WeBin společnosti DBAppSecurity, Fein, Iccccc & Ziiiro.
IOGPUFamily
Poděkování za pomoc zaslouží Wang Yu z týmu Cyberserval.
Kernel
Poděkování za pomoc zaslouží Xinru Chi z Pangu Lab.
Notes
Poděkování za pomoc zaslouží Dawuge z Shuffle Team a Hunan University.
ppp
Poděkování za pomoc zaslouží Dave G.
Shortcuts
Poděkování za pomoc zaslouží Waleed Barakat (@WilDN00B) a Paul Montgomery (@nullevent).
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.