Tietoja macOS Tahoe 26.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Tahoe 26.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Tahoe 26.5

Accelerate

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28988: Asaf Cohen

APFS

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28959: Dave G.

App Intents

Saatavuus: macOS Tahoe

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) Reverse Societylle

AppleJPEG

Saatavuus: macOS Tahoe

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2026-1837

AppleJPEG

Saatavuus: macOS Tahoe

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28956: impost0r (ret2plt)

Audio

Saatavuus: macOS Tahoe

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39869: David Ige (Beryllium Security)

CoreMedia

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-28922: Arni Hardarson

CoreServices

Saatavuus: macOS Tahoe

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28936: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

CoreSymbolication

Saatavuus: macOS Tahoe

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28918: Niels Hofmans, nimetön yhteistyössä TrendAI Zero Day Initiativen kanssa

CUPS

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28915: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

FileProvider

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-43659: Alex Radocea

GPU Drivers

Saatavuus: macOS Tahoe

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28925: Aswin Kumar Gokula Kannan, Dave G.

ImageIO

Saatavuus: macOS Tahoe

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43661: nimetön tutkija

ImageIO

Saatavuus: macOS Tahoe

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-28977: Suresh Sundaram

ImageIO

Saatavuus: macOS Tahoe

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28990: Jiri Ha, Arni Hardarson

Installer

Saatavuus: macOS Tahoe

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28978: nimimerkki wdszzml ja Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43655: Somair Ansar ja nimetön tutkija

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: palvelunesto-ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28908: beist

Kernel

Saatavuus: macOS Tahoe

Vaikutus: Haitallinen levytiedosto saattoi pystyä ohittamaan Gatekeeper-tarkistukset.

Kuvaus: tiedostokaranteenin ohittaminen on ratkaistu lisäämällä tarkistuksia.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Saatavuus: macOS Tahoe

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla saapuvien tietojen tarkistusta.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.), Robert Tran, Aswin Kumar Gokulakannan

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28952: Calif.io yhteistyössä Clauden ja Anthropic Researchin kanssa

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28951: Csaba Fitzl (@theevilbit, Iru)

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28972: Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.), Ryan Hileman Xint Coden (xint.io) kautta

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec, Talence Security), Ryan Hileman Xint Coden (xint.io) kautta

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Saatavuus: macOS Tahoe

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28983: Ruslan Dautov

Mail Drafts

Saatavuus: macOS Tahoe

Vaikutus: sähköpostiin vastaaminen saattoi näyttää etäkuvia Mailissa sulkutilassa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43653: Atul R V

mDNSResponder

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Saatavuus: macOS Tahoe

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Saatavuus: macOS Tahoe

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28941: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Model I/O

Saatavuus: macOS Tahoe

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28940: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Network Extensions

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-28961: Dan Raviv

Networking

Saatavuus: macOS Tahoe

Vaikutus: Hyökkääjä saattoi pystyä seuraamaan käyttäjiä IP-osoitteen kautta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Saatavuus: macOS Tahoe

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-43656: Peter Malone

Sandbox

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-43652: Asaf Cohen

SceneKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39870: Peter Malone

SceneKit

Saatavuus: macOS Tahoe

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28846: Peter Malone

Shortcuts

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2026-28993: Doron Assness

SMB

Saatavuus: macOS Tahoe

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28848: Peter Malone, Dave G. ja Alex Radocea (Supernetworks)

Spotlight

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28930: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Spotlight

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2026-28974: Andy Koo (@andykoo, Hexens)

Storage

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28996: Alex Radocea

StorageKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Yhdenmukaisuusongelma on korjattu parantamalla tilankäsittelyä.

CVE-2026-28919: Amy (amys.website)

Sync Services

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään yhteystietoja ilman käyttäjän suostumusta.

Kuvaus: kilpailutilanne on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-28924: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs), YingQi Shi (@Mas0nShi, DBAppSecurityn WeBin-laboratorio)

TV App

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä tarkastelemaan suojaamattomia käyttäjätietoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2026-39871: nimetön tutkija

UserAccountUpdater

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28976: David Ige (Beryllium Security)

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2026-43660: Cantina

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28907: Cantina

WebKit

Saatavuus: macOS Tahoe

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Saatavuus: macOS Tahoe

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43658: Do Young Park

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu ja Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), nimetön yhteistyössä TrendAI Zero Day Initiativen kanssa, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: nimimerkki wac ja Kookhwan Lee yhteistyössä TrendAI Zero Day Initiativen kanssa

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec, Talence Security), Nathaniel Oh (@calysteon)

CVE-2026-28901: Aislen Offensive Security -tutkimustiimi (Joshua Rogers, Luigino Camastra, Igor Morgenstern ja Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)

CVE-2026-28913: nimetön tutkija

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2026-28958: Cantina

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28917: Vitaly Simonovich

WebKit

Saatavuus: macOS Tahoe

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28947: dr3dd

CVE-2026-28946: Gia Bui (@yabeow, Calif.io), dr3dd, w0wbox

CVE-2026-28942: Milad Nasr ja Nicholas Carlini yhteistyössä Clauden (Anthropic) kanssa

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallinen iframe saattoi käyttää toisen verkkosivuston latausasetuksia.

Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

CVE-2026-28971: Khiem Tran

WebRTC

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28944: Kenneth Hsu (Palo Alto Networks), Jérôme DJOUDER, dr3dd

Wi-Fi

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28819: Wang Yu

Wi-Fi

Saatavuus: macOS Tahoe

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Wi-Fi-paketteja.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28994: Alex Radocea

zip

Saatavuus: macOS Tahoe

Vaikutus: Haitallinen ZIP-arkisto saattoi pystyä ohittamaan Gatekeeper-tarkistukset.

Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.

CVE-2026-28914: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs, nosebeard.co)

zlib

Saatavuus: macOS Tahoe

Vaikutus: haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Kiitokset

App Intents

Haluamme kiittää avusta Mikael Kinnmania.

App Store

Haluamme kiittää avusta Asaf Cohenia ja Johan Wahyudia.

Apple Account

Haluamme kiittää avusta Iván Savranskya, Kun Peeksiä (@SwayZGl1tZyyy), YingQi Shiä (@Mas0nShi, DBAppSecurityn WeBin-laboratorio).

Audio

Haluamme kiittää avusta Brian Carpenteria.

bzip2

Haluamme kiittää avusta Andreas Jaegersbergeriä ja Ro Achterbergiä (Nosebeard Labs).

CoreAnimation

Haluamme kiittää avusta Jordan Pittmania.

CoreUI

Haluamme kiittää avusta Mustafa Calapia.

ICU

Haluamme kiittää avusta nimetöntä tutkijaa.

Kernel

Haluamme kiittää avusta Ryan Hilemania Xint Coden (xint.io) kautta ja nimetöntä tutkijaa.

libarchive

Haluamme kiittää avusta Andreas Jaegersbergeriä ja Ro Achterbergiä (Nosebeard Labs).

libnetcore

Haluamme kiittää avusta Chris Staitea ja David Hardya (Menlo Security Inc).

Libnotify

Haluamme kiittää avusta Ilias Moradia (@A2nkF_).

Location

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).

mDNSResponder

Haluamme kiittää avusta Jason Grovea.

Messages

Haluamme kiittää avusta Jeffery Kimbrowia.

Notes

Haluamme kiittää avusta Asilbek Salimovia.

OpenSSH

Haluamme kiittää avusta Anand Patilia.

Photos

Haluamme kiittää avusta Christopher Mathewsia.

ppp

Haluamme kiittää avusta Cem Onat Karagunia ja Surya Kushwahaa.

Safari

Haluamme kiittää avusta Sean Mutukua.

Safari Push Notifications

Haluamme kiittää avusta Robert Mindoa.

Siri

Haluamme kiittää avusta Yoav Magidia.

Time Machine

Haluamme kiittää avusta Andreas Jaegersbergeriä ja Ro Achterbergiä (Nosebeard Labs).

WebKit

Haluamme kiittää avusta Muhammad Zaid Ghifaria (Mr.ZheeV), Kalimantan Utaraa, Qadhafy Muhammad Teraa ja Vitaly Simonovichia.

WebRTC

Haluamme kiittää avusta Hyeonji Sonia (@jir4vv1t, Demon Team).

Wi-Fi

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).