Tietoja macOS Sequoia 15.7.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sequoia 15.7.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sequoia 15.7.5

Julkaistu 24.3.2026

802.1X

Saatavuus: macOS Sequoia

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)

Accounts

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

apache

Saatavuus: macOS Sequoia

Vaikutus: Apachessa esiintyi useita ongelmia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleKeyStore

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20637: Johnny Franks (zeroxjf) ja nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28824: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2026-20699: Mickey Jin (@patch1t)

Audio

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28879: Justin Cohen (Google)

Audio

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28822: Jex Amro

Calling Framework

Saatavuus: macOS Sequoia

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28894: nimetön tutkija

CFNetwork

Saatavuus: macOS Sequoia

Vaikutus: Etäkäyttäjä saattoi pystyä kirjoittamaan mielivaltaisia tiedostoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2026-20660: Amy (amys.website)

Clipboard

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2026-28866: Cristian Dinca (icmd.tech)

configd

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-20639: @cloudlldb (@pixiepointsec)

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa käsittelyn.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.

CVE-2026-28821: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab)

CoreServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2026-28838: nimetön tutkija

CoreUtils

Saatavuus: macOS Sequoia

Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)

CUPS

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28888: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

curl

Saatavuus: macOS Sequoia

Vaikutus: curlissa oli ongelma, joka saattoi aiheuttaa arkaluontoisten tietojen lähettämisen tahattomasti väärän yhteyden kautta.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-14524

DesktopServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-20633: Mickey Jin (@patch1t)

DeviceLink

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28876: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

Diagnostics

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28892: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)

File System

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28832: DARKNAVY (@DarkNavyOrg)

Focus

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-20668: Kirin (@Pwnrin)

GPU Drivers

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28834: nimetön tutkija

iCloud

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

ImageIO

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-64505

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: tietojen paljastumiseen liittyvä ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20695: TrendAI Zero Day Initiativen parissa työskentelevä 이동하 (Lee Dong Ha, BoB 0xB6), hari shanmugam

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20687: Johnny Franks (@zeroxjf)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28829: Sreejith Krishnan R

libxpc

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20607: nimetön tutkija

Mail

Saatavuus: macOS Sequoia

Vaikutus: Kätke IP-osoite ja Estä kaikki etäsisältö eivät ehkä koskeneet kaikkea sähköpostisisältöä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla käyttäjän asetusten käsittelyä.

CVE-2026-20692: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

mDNSResponder

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Messages

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2026-20651: Chunyu Song (NorthSea)

MigrationKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

NetAuth

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28891: nimetön tutkija

NetAuth

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muodostamaan yhteyden jaettuun verkkoresurssiin ilman käyttäjän suostumusta.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2026-20701: Matej Moravec (@MacejkoMoravec)

NetAuth

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28839: Mickey Jin (@patch1t)

NetFSFramework

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28827: Csaba Fitzl (@theevilbit, Iru) ja nimetön tutkija

Notes

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-28816: Dawuge (Shuffle Team) ja Hunan University

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä, jolla oli pääkäyttöoikeudet, saattoi pystyä poistamaan suojattuja järjestelmätiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20693: Mickey Jin (@patch1t)

Phone

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)

Printing

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28831: nimetön tutkija

Printing

Saatavuus: macOS Sequoia

Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28817: Gyujeong Jin (@G1uN4sh, Team.0xb6)

Printing

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-20688: wdszzml ja Atuin Automated Vulnerability Discovery Engine

Security

Saatavuus: macOS Sequoia

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2026-28864: Alex Radocea

SMB

Saatavuus: macOS Sequoia

Vaikutus: haitallisen jaetun SMB-verkkoresurssin käyttöönotto saattaa johtaa järjestelmän kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28835: Christian Kohlschütter

SMB

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28825: Sreejith Krishnan R

Spotlight

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2026-20699: Mickey Jin (@patch1t)

Spotlight

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28818: @pixiepointsec

Spotlight

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20697: @pixiepointsec

TCC

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28828: Mickey Jin (@patch1t)

UIFoundation

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28852: Caspian Tarafdar

Vision

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20657: Andrew Becker

WebDAV

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28829: Sreejith Krishnan R

Kiitokset

Admin Framework

Haluamme kiittää avusta Sota Toyokuraa.

CoreServices

Haluamme kiittää avusta YingQi Shitä (@Mas0nShi, DBAppSecurity's WeBin lab), Feiniä, Iccccc:tä ja Ziiiroa.

IOGPUFamily

Haluamme kiittää avusta Wang Yuta (Cyberserval).

Kernel

Haluamme kiittää avusta Xinru Chitä (Pangu Lab).

Notes

Haluamme kiittää avusta Dawugea (Shuffle Team) ja Hunan Universityä.

ppp

Haluamme kiittää Dave G:tä hänen antamastaan avusta.

Shortcuts

Haluamme kiittää avusta Waleed Barakatia (@WilDN00B) ja Paul Montgomeryä (@nullevent).

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: