Tietoja macOS Sonoma 14.8.5:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Sonoma 14.8.5:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
macOS Sonoma 14.8.5
Julkaistu 24.3.2026
802.1X
Saatavuus: macOS Sonoma
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)
apache
Saatavuus: macOS Sonoma
Vaikutus: Apachessa esiintyi useita ongelmia.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2025-55753
CVE-2025-58098
CVE-2025-59775
CVE-2025-65082
CVE-2025-66200
AppleKeyStore
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2026-20637: Johnny Franks (zeroxjf) ja nimetön tutkija
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2026-28824: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.
CVE-2026-20699: Mickey Jin (@patch1t)
Archive Utility
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2026-20633: Mickey Jin (@patch1t)
Audio
Saatavuus: macOS Sonoma
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2026-28879: Justin Cohen (Google)
Audio
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2026-28822: Jex Amro
Calling Framework
Saatavuus: macOS Sonoma
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2026-28894: nimetön tutkija
Clipboard
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2026-28866: Cristian Dinca (icmd.tech)
configd
Saatavuus: macOS Sonoma
Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2026-20639: @cloudlldb (@pixiepointsec)
CoreMedia
Saatavuus: macOS Sonoma
Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa käsittelyn.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreServices
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.
CVE-2026-28821: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab)
CoreServices
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2026-28838: nimetön tutkija
CoreUtils
Saatavuus: macOS Sonoma
Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.
Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.
CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)
Crash Reporter
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.
Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.
CVE-2026-28878: Zhongcheng Li (IES Red Team)
CUPS
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2026-28888: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
curl
Saatavuus: macOS Sonoma
Vaikutus: curlissa oli ongelma, joka saattoi aiheuttaa arkaluontoisten tietojen lähettämisen tahattomasti väärän yhteyden kautta.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2025-14524
DeviceLink
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2026-28876: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
Diagnostics
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2026-28892: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)
File System
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2026-28832: DARKNAVY (@DarkNavyOrg)
Focus
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.
CVE-2026-20668: Kirin (@Pwnrin)
GPU Drivers
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2026-28834: nimetön tutkija
iCloud
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2026-28880: Zhongcheng Li (IES Red Team)
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2025-64505
Kernel
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.
CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)
Kernel
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: tietojen paljastumiseen liittyvä ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2026-20695: TrendAI Zero Day Initiativen parissa työskentelevä 이동하 (Lee Dong Ha, BoB 0xB6), hari shanmugam
Kernel
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2026-28829: Sreejith Krishnan R
libxpc
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2026-20607: nimetön tutkija
Saatavuus: macOS Sonoma
Vaikutus: Kätke IP-osoite ja Estä kaikki etäsisältö eivät ehkä koskeneet kaikkea sähköpostisisältöä.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla käyttäjän asetusten käsittelyä.
CVE-2026-20692: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
MigrationKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2026-20694: Rodolphe Brunetti (@eisw0lf, Lupus Nova)
NetAuth
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2026-28891: nimetön tutkija
NetAuth
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muodostamaan yhteyden jaettuun verkkoresurssiin ilman käyttäjän suostumusta.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2026-20701: Matej Moravec (@MacejkoMoravec)
NetAuth
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2026-28839: Mickey Jin (@patch1t)
NetFSFramework
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2026-28827: Csaba Fitzl (@theevilbit, Iru) ja nimetön tutkija
Notes
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2026-28816: Dawuge (Shuffle Team) ja Hunan University
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä, jolla oli pääkäyttöoikeudet, saattoi pystyä poistamaan suojattuja järjestelmätiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2026-20693: Mickey Jin (@patch1t)
Phone
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)
Printing
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2026-28831: nimetön tutkija
Printing
Saatavuus: macOS Sonoma
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2026-28817: Gyujeong Jin (@G1uN4sh, Team.0xb6)
Printing
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2026-20688: wdszzml ja Atuin Automated Vulnerability Discovery Engine
Security
Saatavuus: macOS Sonoma
Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn käyttäjän avainnipun kohteisiin.
Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.
CVE-2026-28864: Alex Radocea
SMB
Saatavuus: macOS Sonoma
Vaikutus: haitallisen jaetun SMB-verkkoresurssin käyttöönotto saattaa johtaa järjestelmän kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2026-28835: Christian Kohlschütter
SMB
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2026-28825: Sreejith Krishnan R
Spotlight
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.
CVE-2026-20699: Mickey Jin (@patch1t)
Spotlight
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.
CVE-2026-28818: @pixiepointsec
Spotlight
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2026-20697: @pixiepointsec
TCC
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2026-28828: Mickey Jin (@patch1t)
Vision
Saatavuus: macOS Sonoma
Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2026-20657: Andrew Becker
WebDAV
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2026-28829: Sreejith Krishnan R
Kiitokset
Admin Framework
Haluamme kiittää avusta Sota Toyokuraa.
CoreServices
Haluamme kiittää avusta Feiniä, Iccccc:tä ja Ziiiroa.
CUPS
Haluamme kiittää avusta Csaba Fitzliä (@theevilbit, Iru).
Kernel
Haluamme kiittää avusta Xinru Chitä (Pangu Lab).
Notes
Haluamme kiittää avusta Dawugea (Shuffle Team) ja Hunan Universityä.
ppp
Haluamme kiittää Dave G:tä hänen antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.