Om sikkerhedsindholdet i macOS Tahoe 26.2

I dette dokument beskrives sikkerhedsindholdet i macOS Tahoe 26.2.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Tahoe 26.2

App Store

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme betalingstokens

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2025-46288: floeki, Zhongcheng Li fra IES Red Team hos ByteDance

AppleJPEG

Fås til: macOS Tahoe

Effekt: Behandling af et arkiv kan medføre beskadigelse af hukommelsen

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-43523: en anonym programmør

CVE-2025-43519: en anonym programmør

AppleMobileFileIntegrity

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et nedgraderingsproblem, der påvirker Intel-baserede Mac-computere, er løst via yderligere kodesigneringsrestriktioner.

CVE-2025-43522: en anonym programmør

AppleMobileFileIntegrity

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et nedgraderingsproblem, der påvirker Intel-baserede Mac-computere, er løst via yderligere kodesigneringsrestriktioner.

CVE-2025-43521: en anonym programmør

AppSandbox

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et logikproblem er løst ved forbedret filhåndtering.

CVE-2025-46289: en anonym programmør

Audio

Fås til: macOS Tahoe

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Problemet er løst via forbedret validering af input.

CVE-2025-43482: Jex Amro, Michael Reeves (@IntegralPilot)

Call History

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2025-43517: Wojciech Regula fra SecuRing (wojciechregula.blog)

Calling Framework

Fås til: macOS Tahoe

Effekt: En hacker kan spoofe et nummer i FaceTime

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2025-46287: en anonym programmør, Riley Walz

CoreServices

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logikproblem er løst via forbedret validering.

CVE-2025-46283: en anonym programmør

curl

Fås til: macOS Tahoe

Effekt: Flere sikkerhedsproblemer i curl

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Fås til: macOS Tahoe

Effekt: Adgangskodefelter kunne utilsigtet blive vist, når man fjernstyrede en enhed via FaceTime

Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2025-43542: Yiğit Ocak

File Bookmark

Fås til: macOS Tahoe

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-46281: en anonym programmør

Foundation

Fås til: macOS Tahoe

Effekt: En app kan muligvis få uhensigtsmæssig adgang til arkiver via stavekontrollens API

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Fås til: macOS Tahoe

Effekt: Behandling af skadelige data kan føre til uventet afslutning af appen

Beskrivelse: Et problem med beskadiget hukommelse blev løst via forbedret kontrol af grænser.

CVE-2025-43532: Andrew Calvano og Lucas Pinheiro fra Meta Product Security

Game Center

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet er løst via forbedret håndtering af buffere.

CVE-2025-46278: Kirin (@Pwnrin) og LFY (@secsys) fra Fudan University

Icons

Fås til: macOS Tahoe

Effekt: En app kan muligvis identificere, hvilke andre apps en bruger har installeret

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-43512: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

Kernel

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved at anvende 64-bit-tidsstempler.

CVE-2025-46285: Kaitao Xie og Xiaolong Bai fra Alibaba Group

LaunchServices

Fås til: macOS Tahoe

Effekt: En app kan omgå Gatekeeper-kontrollerne

Beskrivelse: Et logikproblem er løst via forbedret validering.

CVE-2025-46291: Kenneth Chew

libarchive

Fås til: macOS Tahoe

Effekt: Behandling af et arkiv kan medføre beskadigelse af hukommelsen

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-5918

MDM Configuration Tools

Fås til: macOS Tahoe

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med tilladelser er løst ved at fjerne den sårbare kode.

CVE-2025-43513: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

Messages

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedrede anonymitetskontroller.

CVE-2025-46276: Rosyna Keller fra Totally Not Malicious Software

Multi-Touch

Fås til: macOS Tahoe

Effekt: En skadelig HID-enhed kan muligvis forårsage uventet nedbrud i processer

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2025-43533: Google Threat Analysis Group

Networking

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin fra SecLab på The Ohio State University

Notes

Fås til: macOS Tahoe

Effekt: En hacker med fysisk adgang kan muligvis få adgang til at se slettede noter

Beskrivelse: Problemet er løst via forbedret håndtering af buffere.

CVE-2025-43410: Atul R V

Photos

Fås til: macOS Tahoe

Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2025-43428: en anonym programmør, Michael Schmutzer fra Technische Hochschule Ingolstadt

Safari

Fås til: macOS Tahoe

Effekt: På en Mac, hvor Nedlukningstilstand er slået til, kan webindhold åbnet via en URL-adresse muligvis bruge web-API’er, der burde være begrænset

Beskrivelse: Problemet er løst via forbedret godkendelse af URL.

CVE-2025-43526: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

Safari Downloads

Fås til: macOS Tahoe

Effekt: En overførsels oprindelse er muligvis forkert tilknyttet

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2024-8906: @retsew0x01

Screen Time

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til en brugers historik i Safari

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-43538: Iván Savransky

Siri

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet er løst via forbedret håndtering af buffere.

CVE-2025-43514: Morris Richman (@morrisinlife)

SoftwareUpdate

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-43519: en anonym programmør

StorageKit

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2025-43527: en anonym programmør

sudo

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Voice Control

Fås til: macOS Tahoe

Effekt: En bruger med Stemmekontrol slået til kan muligvis transskribere en anden brugers aktivitet

Beskrivelse: Et problem med sessionsadministration er løst ved hjælp af forbedrede kontroller.

CVE-2025-43516: Kay Belardinelli (Harvard University)

VoiceOver

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2025-43530: Mickey Jin (@patch1t)

WebKit

Fås til: macOS Tahoe

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.

CVE-2025-46282: Wojciech Regula fra SecuRing (wojciechregula.blog)

WebKit

Fås til: macOS Tahoe

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2025-43541: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

WebKit

Fås til: macOS Tahoe

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Fås til: macOS Tahoe

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Fås til: macOS Tahoe

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.

CVE-2025-43501: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

WebKit

Fås til: macOS Tahoe

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: En konkurrencetilstand er løst via forbedret tilstandshåndtering.

CVE-2025-43531: Phil Pizlo fra Epic Games

WebKit

Fås til: macOS Tahoe

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem muligvis er blevet udnyttet i et yderst avanceret angreb på specifikke målpersoner på iOS-versioner før iOS 26. CVE-2025-14174 blev også udrullet som reaktion på denne rapport.

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Fås til: macOS Tahoe

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse. Apple er opmærksom på, at dette problem muligvis er blevet udnyttet i et yderst avanceret angreb på specifikke målpersoner på iOS-versioner før iOS 26. CVE-2025-43529 blev også udrullet som reaktion på denne rapport.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2025-14174: Apple og Google Threat Analysis Group

WebKit Web Inspector

Fås til: macOS Tahoe

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2025-43511: 이동하 (Lee Dong Ha fra BoB 14th)

Yderligere anerkendelser

AppleMobileFileIntegrity

Vi vil gerne takke en anonym programmør for hjælpen.

AppSandbox

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

Control Center

Vi vil gerne takke en anonym programmør for hjælpen.

Core Services

Vi vil gerne takke Golden Helm Securities for hjælpen.

FileVault

Vi vil gerne takke Nathaniel Oh (@calysteon) og Joel Peterson (@sekkyo) for hjælpen.

Safari

Vi vil gerne takke Mochammad Nosa Shandy Prastyo for hjælpen.

Sandbox

Vi vil gerne takke Arnaud Abbati for hjælpen.

Voice Control

Vi vil gerne takke PixiePoint Security for hjælpen.

WebKit

Vi vil gerne takke Geva Nurgandi Syahputra (gevakun) for hjælpen.