Tietoja macOS Tahoe 26.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Tahoe 26.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Tahoe 26.4

802.1X

Saatavuus: macOS Tahoe

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)

Accounts

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

Admin Framework

Saatavuus: macOS Tahoe

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä poistamaan suojattuja järjestelmätiedostoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-28823: Ryan Dowd (@_rdowd)

apache

Saatavuus: macOS Tahoe

Vaikutus: Apachessa esiintyi useita ongelmia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleMobileFileIntegrity

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28824: Mickey Jin (@patch1t)

CVE-2026-20696: nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2026-20699: Mickey Jin (@patch1t)

AppleScript

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20684: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.)

Archive Utility

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-20633: Mickey Jin (@patch1t)

Archive Utility

Saatavuus: macOS Tahoe

Vaikutus: haitallinen appi saattoi pystyä käyttämään mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2026-28910: Talal Haj Bakry ja Tommy Mysk (Mysk Inc, @mysk_co) ja Zhongquan Li (@Guluisacat)

Audio

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28879: Justin Cohen (Google)

Audio

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28822: Jex Amro

Calling Framework

Saatavuus: macOS Tahoe

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28894: nimetön tutkija

Clipboard

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Saatavuus: macOS Tahoe

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20690: Hossein Lotfi (@hosselot, TrendAI Zero Day Initiative)

CoreServices

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.

CVE-2026-28821: YingQi Shi (@Mas0nShi, DBAppSecurityn WeBin-laboratorio)

CoreServices

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2026-28838: nimetön tutkija

CoreUtils

Saatavuus: macOS Tahoe

Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)

Crash Reporter

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

CUPS

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28888: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

CUPS

Saatavuus: macOS Tahoe

Vaikutus: dokumentti saatettiin kirjoittaa tilapäiseen tiedostoon tulostuksen esikatselua käytettäessä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2026-28893: Asaf Cohen

curl

Saatavuus: macOS Tahoe

Vaikutus: curlin ongelma saattoi aiheuttaa arkaluontoisten tietojen tahattoman lähetyksen väärän yhteyden kautta.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-14524

DeviceLink

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28876: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

Diagnostics

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28892: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)

File System

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28832: DARKNAVY (@DarkNavyOrg)

GeoServices

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28870: XiguaSec

GPU Drivers

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28834: nimetön tutkija

iCloud

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluontoisia tietoja.

CVE-2026-28881: Ye Zhang (Baidu Security), Ryan Dowd (@_rdowd), Csaba Fitzl (@theevilbit, Iru)

iCloud

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

Saatavuus: macOS Tahoe

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-64505

IOGraphics

Saatavuus: macOS Tahoe

Vaikutus: puskurin ylivuoto saattaa aiheuttaa muistin vioittumiseen ja apin odottamattomaan sulkeutumiseen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-28842: Joseph Ravichandran (@0xjprx, MIT CSAIL)

IOGraphics

Saatavuus: macOS Tahoe

Vaikutus: puskurin ylivuoto saattaa aiheuttaa muistin vioittumiseen ja apin odottamattomaan sulkeutumiseen.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2026-28841: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97) ja 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: tietojen paljastumisen ongelma ratkaistiin parantamalla muistin hallintaa.

CVE-2026-20695: Gor Aleksanyan, 이동하 (Lee Dong Ha, BoB 0xB6) yhteistyössä TrendAI Zero Day Initiativen kanssa ja hari shanmugam

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20687: Johnny Franks (@zeroxjf)

LaunchServices

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28845: Yuebin Sun (@yuebinsun2020), nimetön tutkija, Nathaniel Oh (@calysteon), Kirin (@Pwnrin), Wojciech Regula (SecuRing, wojciechregula.blog), Joshua Jewett (@JoshJewett33), nimetön tutkija

libxpc

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0) ja @hugeBlack

libxpc

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20607: nimetön tutkija

Mail

Saatavuus: macOS Tahoe

Vaikutus: ”Kätke IP-osoite” ja ”Estä kaikki etäsisältö” eivät välttämättä koskeneet kaikkia sähköpostisisältöä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla käyttäjän asetusten käsittelyä.

CVE-2026-20692: Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs) ja Himanshu Bharti (@Xpl0itme, Khatima)

MigrationKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

Music

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-20632: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

NetAuth

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28839: Mickey Jin (@patch1t)

NetAuth

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä yhdistämään verkkoresurssiin ilman käyttäjän lupaa.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2026-20701: Matej Moravec (@MacejkoMoravec)

NetAuth

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28891: nimetön tutkija

NetFSFramework

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28827: Csaba Fitzl (@theevilbit, Iru), nimetön tutkija

Notes

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-28816: Dawuge (Shuffle Team, Hunan University)

NSColorPanel

Saatavuus: macOS Tahoe

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2026-28826: nimetön tutkija

PackageKit

Saatavuus: macOS Tahoe

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20631: Gergely Kalman (@gergely_kalman)

PackageKit

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä, jolla oli pääkäyttöoikeudet, saattoi pystyä poistamaan suojattuja järjestelmätiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20693: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28840: Andrei Dodu, Morris Richman (@morrisinlife)

Phone

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)

Printing

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28831: nimetön tutkija

Printing

Saatavuus: macOS Tahoe

Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28817: Gyujeong Jin (@G1uN4sh, Team.0xb6)

Printing

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-20688: wdszzml ja Atuin Automated Vulnerability Discovery Engine

Security

Saatavuus: macOS Tahoe

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2026-28864: Alex Radocea

Security

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28830: nimetön tutkija

Security

Saatavuus: macOS Tahoe

Vaikutus: paikallinen käyttäjä saattoi pystyä muokkaamaan avainnipun tilaa.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28860: Alex Radocea

SMB

Saatavuus: macOS Tahoe

Vaikutus: haitallisen jaetun SMB-verkkoresurssin käyttöönotto saattaa johtaa järjestelmän kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28835: Christian Kohlschütter

SMB

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28825: Sreejith Krishnan R ja Dave G.

Spotlight

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28818: @pixiepointsec

Spotlight

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20697: @pixiepointsec

StorageKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-28820: Mickey Jin (@patch1t)

System Settings

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-28837: Luke Roberts (@rookuu)

SystemMigration

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.

Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28844: Pedro Tôrres (@t0rr3sp3dr0)

TCC

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28828: Mickey Jin (@patch1t)

UIFoundation

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28852: Caspian Tarafdar

Vision

Saatavuus: macOS Tahoe

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20657: Andrew Becker

WebDAV

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28829: Sreejith Krishnan R

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20665: webb

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön

Kuvaus: Navigation API -rajapinnan ristilähdeongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-20643: Thomas Espach

WebKit

Saatavuus: macOS Tahoe

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-28871: @hamayanhamayan

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20664: Yeonghyeon Choi, Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch3301 ja Yevhen Pervushyn

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea ja Nathaniel Oh (@calysteon)

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallinen verkkosivusto saattoi pystyä käyttämään muihin alkuperiin tarkoitettuja komentosarjojen viestikäsittelijöitä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2026-28861: Hongze Wu ja Shuaike Dong (Ant Group Infrastructure Security Team) ja verkko

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallinen verkkosivusto saattoi pystyä käsittelemään rajoitettua verkkosisältöä sandboxin ulkopuolella.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28859: greenbynox, Arni Hardarson ja nimetön tutkija

WebKit Sandboxing

Saatavuus: macOS Tahoe

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Kiitokset

Accessibility

Haluamme kiittää avusta Jacob Prezantia (prezant.us).

Admin Framework

Haluamme kiittää avusta Sota Toyokuraa.

AirPort

Haluamme kiittää avusta Frantisek Piekutia, Yashar Shahinzadehia, Saman Ebrahimnezhadia, Amir Safaria ja Omid Rezaiita.

Bluetooth

Haluamme kiittää avusta Hamid Mahmoudia.

Captive Network

Haluamme kiittää avusta Csaba Fitzliä (@theevilbit, Iru) ja Kun Peeksiä (@SwayZGl1tZyyy).

CipherML

Haluamme kiittää avusta Nils Hanff (@nils1729@chaos.social, Hasso Plattner Institute).

CloudAttestation

Haluamme kiittää avusta Suresh Sundaramia ja Willard Jansenia.

Core Bluetooth

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

CoreServices

Haluamme kiittää avusta nimimerkkejä Fein, Iccccc ja Ziiiro.

CoreUI

Haluamme kiittää avusta Peter Malonea ja Mustafa Calapia.

Disk Images

Haluamme kiittää avusta Jonathan Bar Oria (@yo_yo_yo_jbo).

Find My

Haluamme kiittää avusta Salemdomainia.

GPU Drivers

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

ICU

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

ImageKit

Haluamme kiittää avusta nimimerkkejä Lyutoon ja YenKoc, Mingxuan Yangia (@PPPF00L), Minghao Liniä (@Y1nKoc) ja nimimerkkiä 风 (@binary_fmyy, 抽象刷怪笼).

Kerberos v5 PAM module

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

Kernel

Haluamme kiittää avusta Adam Doupéta (ASU SEFCOM), DARKNAVYa (@DarkNavyOrg), Kylian Boulard De Pouquevillea (Fuzzinglabs), Patrick Ventuzeloa (Fuzzinglabs), Robert Trania, Suresh Sundaramia, Tristan Madania (@TristanInSec, Talence Security) ja Xinru Chitä (Pangu Lab).

libarchive

Haluamme kiittää avusta Andreas Jaegersbergeriä ja Ro Achterbergiä (Nosebeard Labs) sekä Arni Hardarsonia.

libc

Haluamme kiittää avusta Vitaly Simonovichia (vitalysim.com).

Libnotify

Haluamme kiittää avusta Ilias Moradia (@A2nkF_).

LLVM

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

mDNSResponder

Haluamme kiittää avusta William Matheria.

Viestit

Haluamme kiittää avusta JZ:aa.

MobileInstallation

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

Music

Haluamme kiittää avusta Mohammad Kaifia (@_mkahmad | kaif0x01).

Notes

Haluamme kiittää avusta nimimerkkiä Dawuge (Shuffle Team, Hunan University).

NSOpenPanel

Haluamme kiittää avusta Barath Stalin K:ta.

ppp

Haluamme kiittää Dave G:tä hänen antamastaan avusta.

Quick Look

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja nimetöntä tutkijaa.

Safari

Haluamme kiittää avusta @RenwaX23:a, Farras Givaria, Syarif Muhammad Sajjadia ja Yairia.

Sandbox

Haluamme kiittää avusta Morris Richmania (@morrisinlife), Prashan Samarathungea ja henkilöä 要乐奈.

Shortcuts

Haluamme kiittää avusta Waleed Barakatia (@WilDN00B) ja Paul Montgomeryä (@nullevent).

Siri

Haluamme kiittää avusta Anand Mallayaa (tekninen konsultti, Anand Mallaya and Co.), DARKNAVYa (@DarkNavyOrg), Harsh Kirdoliaa, Hrishikesh Parmaria (yrittäjä), HvxyZLF:iä, Ilya Andria (andrd3v) ja Kun Peeksiä (@SwayZGl1tZyyy).

Spotlight

Haluamme kiittää avusta Bilge Kaan Mızrakia, Claude & Friends: Risk Analytics Research Groupia ja Zack Tickmania.

System Settings

Haluamme kiittää avusta Christian Scalesea (www.linkedin.com/in/christian-scalese-5794092aa), Karol Mazurekia (@karmaz, AFINE) ja Raffaele Sabatoa (SentinelOne).

Time Zone

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India).

UIKit

Haluamme kiittää avusta AEC:tä, Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India), Alex Thomasia, Bishal Kaflea (@whoisbishal.k), Carlos Lunaa (U.S. Department of the Navy), Dalibor Milanovicia, Daren Goodchildia, JS De Matteita, Maxwell Garnia, Zack Tickmania, fuyuu12:ta ja incredincompia.

Wallet

Haluamme kiittää avusta Zhongcheng Litä (IES Red Team, ByteDance).

Web Extensions

Haluamme kiittää avusta Carlos Jeurissenia, Rob Wuta (robwu.nl).

WebKit

Haluamme kiittää avusta Vamshi Pailia.

Wi-Fi

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy) ja nimetöntä tutkijaa.

Wi-Fi Connectivity

Haluamme kiittää avusta Alex Radoceaa (Supernetworks, Inc).

Widgets

Haluamme kiittää avusta Marcel Voßia, Mitul Pranjayta ja Serok Çelikiä.

zsh

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).