En este documento se describe el contenido de seguridad de macOS Tahoe 26.5.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
Publicado el 11 de mayo de 2026
Disponible para macOS Tahoe
Impacto: Una app podía provocar una denegación de servicio.
Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Disponible para macOS Tahoe
Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2026-28988: Asaf Cohen
Disponible para macOS Tahoe
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2026-28959: Dave G.
Disponible para macOS Tahoe
Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) para Reverse Society
Disponible para macOS Tahoe
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar una denegación de servicio
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2026-1837
Disponible para macOS Tahoe
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la validación de entradas para solucionar un problema de daños en la memoria.
CVE-2026-28956: impost0r (ret2plt)
Disponible para macOS Tahoe
Impacto: El procesamiento de una secuencia de audio en un archivo multimedia creado con fines malintencionados podía dar por terminado el proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-39869: David Ige de Beryllium Security
Disponible para macOS Tahoe
Impacto: Una app podía obtener acceso a información privada.
Descripción: Para solucionar este problema, se mejoró la administración del estado.
CVE-2026-28922: Arni Hardarson
Disponible para macOS Tahoe
Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2026-28936: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs
Disponible para macOS Tahoe
Impacto: Es posible que el análisis de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2026-28918: Niels Hofmans, anónimo en colaboración con el programa Zero Day Initiative de TrendAI
Disponible para macOS Tahoe
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.
CVE-2026-28915: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs
Disponible para macOS Tahoe
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2026-43659: Alex Radocea
Disponible para macOS Tahoe
Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)
Disponible para macOS Tahoe
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2026-28925: Aswin Kumar Gokula Kannan, Dave G.
Disponible para macOS Tahoe
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso
Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.
CVE-2026-43661: Un investigador anónimo
Disponible para macOS Tahoe
Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
CVE-2026-28977: Suresh Sundaram
Disponible para macOS Tahoe
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-28990: Jiri Ha, Arni Hardarson
Disponible para macOS Tahoe
Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2026-28978: wdszzml y Atuin Automated Vulnerability Discovery Engine
Disponible para macOS Tahoe
Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2026-28992: Johnny Franks (@zeroxjf)
Disponible para macOS Tahoe
Impacto: Es posible que una app pueda determinar la distribución de la memoria del kernel
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2026-28943: Google Threat Analysis Group
Disponible para macOS Tahoe
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Disponible para macOS Tahoe
Impacto: Una app podía provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.
CVE-2026-43655: Somair Ansar y un investigador anónimo
Disponible para macOS Tahoe
Impacto: Una app podía divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Disponible para macOS Tahoe
Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos
Descripción: Un problema de denegación de servicio se solucionó mediante la eliminación del código vulnerable.
CVE-2026-28908: beist
Disponible para macOS Tahoe
Impacto: Una imagen de disco creada con fines malintencionados podía omitir las comprobaciones de Gatekeeper.
Descripción: Se solucionó un problema de omisión de cuarentena de archivos con comprobaciones adicionales.
CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)
Disponible para macOS Tahoe
Impacto: Un usuario local puede provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de búferes.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan
Disponible para macOS Tahoe
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de enteros.
CVE-2026-28952: Calif.io en colaboración con Claude y Anthropic Research
Disponible para macOS Tahoe
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2026-28951: Csaba Fitzl (@theevilbit) de Iru
Disponible para macOS Tahoe
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman por Xint Code (xint.io)
Disponible para macOS Tahoe
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman por Xint Code (xint.io)
Disponible para macOS Tahoe
Impacto: Una app podía filtrar el estado confidencial del kernel.
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)
Disponible para macOS Tahoe
Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio
Descripción: Para solucionar un problema de tipo confusión, se mejoraron las comprobaciones.
CVE-2026-28983: Ruslan Dautov
Disponible para macOS Tahoe
Impacto: Al responder un correo electrónico, podían aparecer imágenes remotas en Mail, en el modo hermético.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)
Disponible para macOS Tahoe
Impacto: un atacante en la red local puede provocar una denegación de servicio
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-43653: Atul R V
Disponible para macOS Tahoe
Impacto: un atacante en la red local puede provocar una denegación de servicio
Descripción: Se mejoró la validación de entradas para solucionar un problema de falta de referencia de puntero nulo.
CVE-2026-28985: Omar Cerrito
Disponible para macOS Tahoe
Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
Disponible para macOS Tahoe
Impacto: un atacante en la red local puede provocar una denegación de servicio
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Disponible para macOS Tahoe
Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda ocasionar una denegación de servicio o revelar el contenido de la memoria
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2026-28941: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI
Disponible para macOS Tahoe
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-28940: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI
Disponible para macOS Tahoe
Impacto: Es posible que un atacante con acceso físico a un dispositivo bloqueado pueda acceder a información confidencial del usuario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2026-28961: Dan Raviv
Disponible para macOS Tahoe
Impacto: Un atacante podía rastrear a los usuarios a través de sus direcciones IP.
Descripción: Para solucionar este problema, se mejoró la administración del estado.
CVE-2026-28906: Ilya Sc. Jowell A.
Disponible para macOS Tahoe
Impacto: Es posible que el análisis de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2026-43656: Peter Malone
Disponible para macOS Tahoe
Impacto: Una app podía acceder a datos protegidos del usuario
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2026-43652: Asaf Cohen
Disponible para macOS Tahoe
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-39870: Peter Malone
Disponible para macOS Tahoe
Impacto: Un atacante remoto podía provocar el cierre inesperado de la app.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2026-28846: Peter Malone
Disponible para macOS Tahoe
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.
CVE-2026-28993: Doron Assness
Disponible para macOS Tahoe
Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2026-28848: Peter Malone, Dave G. y Alex Radocea de Supernetworks
Disponible para macOS Tahoe
Impacto: Una app podía acceder a datos protegidos del usuario
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2026-28930: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Disponible para macOS Tahoe
Impacto: Una app podía provocar una denegación de servicio.
Descripción: A fin de solucionar este problema, se mejoraron las comprobaciones para impedir las acciones no autorizadas.
CVE-2026-28974: Andy Koo (@andykoo) de Hexens
Disponible para macOS Tahoe
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2026-28996: Alex Radocea
Disponible para macOS Tahoe
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Se solucionó un problema de coherencia mejorando el manejo de estados.
CVE-2026-28919: Amy (amys.website)
Disponible para macOS Tahoe
Impacto: Es posible que una app pueda acceder a Contactos sin el consentimiento del usuario
Descripción: Se mejoró el manejo de enlaces simbólicos para solucionar un problema de condición de carrera.
CVE-2026-28924: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs, YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab
Disponible para macOS Tahoe
Impacto: Una app podía observar datos de usuario no protegidos.
Descripción: Se mejoró la lógica para solucionar un problema de manejo de rutas.
CVE-2026-39871: Un investigador anónimo
Disponible para macOS Tahoe
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Se abordó una filtración de información con validación adicional.
CVE-2026-28976: David Ige - Beryllium Security
Disponible para macOS Tahoe
Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.
Descripción: Se solucionó un problema de validación mejorando la lógica.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
Disponible para macOS Tahoe
Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.
Descripción: Se mejoró la validación de entradas para solucionar el problema.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
Disponible para macOS Tahoe
Impacto: El procesamiento de contenido web creado con fines malintencionados podía divulgar información confidencial del usuario.
Descripción: Para solucionar este problema, se mejoraron las restricciones de acceso.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong/kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
Disponible para macOS Tahoe
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
Disponible para macOS Tahoe
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu y Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anónimo en colaboración con el programa Zero Day Initiative de TrendAI, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac y Kookhwan Lee en colaboración con el programa Zero Day Initiative de TrendAI
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) de Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: equipo de investigación de seguridad ofensiva de Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern y Guido Vranken), Maher Azzouzi, Ngan Nguyen y Calif.io
WebKit Bugzilla: 311631
CVE-2026-28913: Un investigador anónimo
Disponible para macOS Tahoe
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong/kakaogames
Disponible para macOS Tahoe
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Para solucionar este problema, se mejoró la protección de datos.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
Disponible para macOS Tahoe
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Se mejoró la validación de entradas para solucionar el problema.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
Disponible para macOS Tahoe
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit Bugzilla: 310544
CVE-2026-28946: Gia Bui (@yabeow) de Calif.io, dr3dd, w0wbox
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr y Nicholas Carlini con Claude, Anthropic
Disponible para macOS Tahoe
Impacto: Un archivo iframe creado con fines malintencionados podía usar la configuración de descarga de otro sitio web.
Descripción: Para solucionar este problema, se mejoró el manejo de IU.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
Disponible para macOS Tahoe
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu de Palo Alto Networks, Jérôme DJOUDER, dr3dd
Disponible para macOS Tahoe
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2026-28819: Wang Yu
Disponible para macOS Tahoe
Impacto: Un atacante en una posición de red privilegiada podía realizar un ataque de denegación de servicio mediante paquetes de Wi-Fi creados.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-28994: Alex Radocea
Disponible para macOS Tahoe
Impacto: Es posible que un archivo ZIP creado con fines malintencionados pueda omitir las comprobaciones de Gatekeeper
Descripción: Se mejoró la administración de archivos para solucionar un problema de lógica.
CVE-2026-28914: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs (nosebeard.co)
Disponible para macOS Tahoe
Impacto: La visita a un sitio web creado con fines malintencionados podía filtrar información confidencial.
Descripción: Se abordó una filtración de información con validación adicional.
CVE-2026-28920: Brendon Tiszka de Proyecto Cero de Google
Nos gustaría darle las gracias a Mikael Kinnman por su ayuda.
Nos gustaría darles las gracias a Asaf Cohen y Johan Wahyudi por su ayuda.
Nos gustaría darles las gracias a Iván Savransky, Kun Peeks (@SwayZGl1tZyyy) y YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab por su ayuda.
Nos gustaría darle las gracias a Brian Carpenter por su ayuda.
Nos gustaría darles las gracias a Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs por su ayuda.
Nos gustaría darle las gracias a Jordan Pittman por su ayuda.
Nos gustaría darle las gracias a Mustafa Calap por su ayuda.
Nos gustaría darle las gracias a un investigador anónimo por su ayuda.
Nos gustaría darles las gracias a Ryan Hileman por Xint Code (xint.io) y un investigador anónimo por su ayuda.
Nos gustaría darles las gracias a Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs por su ayuda.
Nos gustaría darles las gracias a Chris Staite y David Hardy de Menlo Security Inc por su ayuda.
Nos gustaría darle las gracias a Ilias Morad (@A2nkF_) por su ayuda.
Nos gustaría darle las gracias a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.
Nos gustaría darle las gracias a Jason Grove por su ayuda.
Nos gustaría darle las gracias a Jeffery Kimbrow por su ayuda.
Nos gustaría darle las gracias a Asilbek Salimov por su ayuda.
Nos gustaría darle las gracias a Anand Patil por su ayuda.
Nos gustaría darle las gracias a Christopher Mathews por su ayuda.
Nos gustaría darles las gracias a Cem Onat Karagun y Surya Kushwaha por su ayuda.
Nos gustaría darle las gracias a sean mutuku por su ayuda.
Nos gustaría darle las gracias a Robert Mindo por su ayuda.
Nos gustaría darle las gracias a Yoav Magid por su ayuda.
Nos gustaría darles las gracias a Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs por su ayuda.
Nos gustaría darles las gracias a Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera y Vitaly Simonovich por su ayuda.
Nos gustaría darle las gracias a Hyeonji Son (@jir4vv1t) de Demon Team por su ayuda.
Nos gustaría darle las gracias a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.