Informace o bezpečnostním obsahu macOS Sequoia 15.7.7

Tento dokument popisuje bezpečnostní obsah macOS Sequoia 15.7.7.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

macOS Sequoia 15.7.7

APFS

K dispozici pro: macOS Sequoia

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28959: Dave G.

AppleJPEG

K dispozici pro: macOS Sequoia

Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28956: impost0r (ret2plt)

Audio

K dispozici pro: macOS Sequoia

Dopad: Zpracování audio streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-39869: David Ige ze společnosti Beryllium Security

CoreMedia

K dispozici pro: macOS Sequoia

Dopad: Aplikace může získat přístup k soukromým údajům.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2026-28922: Arni Hardarson

Crash Reporter

K dispozici pro: macOS Sequoia

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.

CVE-2026-28878: Zhongcheng Li z týmu IES Red Team

CUPS

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.

CVE-2026-28915: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs

FileProvider

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2026-43659: Alex Radocea

GPU Drivers

K dispozici pro: macOS Sequoia

Dopad: Škodlivé aplikaci se může podařit dostat se ze sandboxu.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28925: Dave G., Aswin Kumar Gokula Kannan

Icons

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.

CVE-2025-43524: Csaba Fitzl (@theevilbit) ze společnosti Iru

ImageIO

K dispozici pro: macOS Sequoia

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28977: Suresh Sundaram

ImageIO

K dispozici pro: macOS Sequoia

Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-28990: Jiri Ha, Arni Hardarson

Installer

K dispozici pro: macOS Sequoia

Dopad: Škodlivé aplikaci se může podařit dostat se ze sandboxu.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2026-28978: wdszzml a Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

K dispozici pro: macOS Sequoia

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-28943: Google Threat Analysis Group

IOKit

K dispozici pro: macOS Sequoia

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

K dispozici pro: macOS Sequoia

Dopad: Zlomyslně vytvořený obraz disku může obejít kontroly systému Gatekeeper.

Popis: Obcházení karantény souboru bylo vyřešeno dodatečnými kontrolami.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

K dispozici pro: macOS Sequoia

Dopad: Místnímu uživateli se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupu.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

K dispozici pro: macOS Sequoia

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.

CVE-2026-28952: Calif.io ve spolupráci s Claudem a společností Anthropic Research

Kernel

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém s odmítnutím služby byl vyřešen odstraněním zranitelného kódu.

CVE-2026-28908: beist

Kernel

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-28951: Csaba Fitzl (@theevilbit) ze společnosti Iru

Kernel

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd., Ryan Hileman prostřednictvím Xint Code (xint.io)

Kernel

K dispozici pro: macOS Sequoia

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2026-28986: Tristan Madani (@TristanInSec) z Talence Security, Ryan Hileman prostřednictvím Xint Code (xint.io), Chris Betz

Kernel

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

K dispozici pro: macOS Sequoia

Dopad: Při odpovídání na e-mail se v aplikaci Mail v režimu blokování můžou zobrazit vzdálené obrázky.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

K dispozici pro: macOS Sequoia

Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

K dispozici pro: macOS Sequoia

Dopad: Útočníkovi v místní síti se může podařit způsobit odmítnutí služby.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

K dispozici pro: macOS Sequoia

Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-28940: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti TrendAI

Model I/O

K dispozici pro: macOS Sequoia

Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby nebo k potenciálnímu odhalení obsahu paměti.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2026-28941: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti TrendAI

Networking

K dispozici pro: macOS Sequoia

Dopad: Útočník může být schopný sledovat uživatele prostřednictvím jejich IP adres.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2026-28906: Ilya Sc. Jowell A.

PackageKit

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2026-28840: Morris Richman (@morrisinlife), Andrei Dodu

Quick Look

K dispozici pro: macOS Sequoia

Dopad: Parsování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2026-43656: Peter Malone

SceneKit

K dispozici pro: macOS Sequoia

Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-39870: Peter Malone

SceneKit

K dispozici pro: macOS Sequoia

Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28846: Peter Malone

Shortcuts

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Tento problém byl vyřešen přidáním další výzvy pro souhlas uživatele.

CVE-2026-28993: Doron Assness

SMB

K dispozici pro: macOS Sequoia

Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení systému.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28848: Peter Malone, Dave G. a Alex Radocea ze Supernetworks

Spotlight

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontrol, aby se zabránilo neautorizovaným akcím.

CVE-2026-28974: Andy Koo (@andykoo) z Hexens

Storage

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2026-28996: Alex Radocea

StorageKit

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém s konzistentností byl vyřešen vylepšením správy stavu.

CVE-2026-28919: Amy (amys.website)

Sync Services

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit získat přístup ke Kontaktům bez souhlasu uživatele.

Popis: Problém se souběhem byl vyřešen vylepšením zpracování symbolických odkazů.

CVE-2026-28924: YingQi Shi (@Mas0nShi) z laboratoře WeBin DBAppSecurity, Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs

TV App

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit pozorovat nechráněná uživatelská data.

Popis: Problém se zpracováním cest byl vyřešen vylepšením logiky.

CVE-2026-39871: anonymní výzkumník

Wi-Fi

K dispozici pro: macOS Sequoia

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněním jádra

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28819: Wang Yu

Wi-Fi

K dispozici pro: macOS Sequoia

Dopad: Útočník v privilegované síti může pomocí upravených Wi-Fi paketů provést útok odmítnutím služeb.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-28994: Alex Radocea

zlib

K dispozici pro: macOS Sequoia

Dopad: Návštěva škodlivého webu může vést k úniku citlivých dat.

Popis: Únik informací byl řešen dodatečným ověřením.

CVE-2026-28920: Brendon Tiszka z týmu Google Project Zero

Další poděkování

Kernel

Poděkování za pomoc zaslouží Ryan Hileman prostřednictvím Xint Code (xint.io).

Location

Poděkování za pomoc zaslouží Kun Peeks (@SwayZGl1tZyyy).

OpenSSH

Poděkování za pomoc zaslouží Anand Patil.