Tietoja macOS Sequoia 15.7.7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sequoia 15.7.7:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sequoia 15.7.7

APFS

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28959: Dave G.

AppleJPEG

Saatavuus: macOS Sequoia

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28956: impost0r (ret2plt)

Audio

Saatavuus: macOS Sequoia

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39869: David Ige (Beryllium Security)

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi päästä käsiksi yksityisiin tietoihin.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-28922: Arni Hardarson

Crash Reporter

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

CUPS

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28915: Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs)

FileProvider

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-43659: Alex Radocea

GPU Drivers

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28925: Dave G., Aswin Kumar Gokula Kannan

Icons

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43524: Csaba Fitzl (@theevilbit, Iru)

ImageIO

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-28977: Suresh Sundaram

ImageIO

Saatavuus: macOS Sequoia

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28990: Jiri Ha, Arni Hardarson

Installer

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28978: wdszzml ja Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: haitallinen levytiedosto saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: tiedostokaranteenin ohittaminen on ratkaistu lisäämällä tarkistuksia.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla saapuvien tietojen tarkistusta.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28952: Calif.io yhteistyössä Clauden ja Anthropic Researchin kanssa

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: palvelunesto-ongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28908: beist

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28951: Csaba Fitzl (@theevilbit, Iru)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28972: Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd.) ja Ryan Hileman (Xint Code, xint.io)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28986: Tristan Madani (@TristanInSec, Talence Security), Ryan Hileman (Xint Code, xint.io) ja Chris Betz

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

Saatavuus: macOS Sequoia

Vaikutus: sähköpostiin vastaaminen saattoi näyttää etäkuvia Mailissa sulkutilassa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Saatavuus: macOS Sequoia

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Saatavuus: macOS Sequoia

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28940: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Model I/O

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28941: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Networking

Saatavuus: macOS Sequoia

Vaikutus: Hyökkääjä saattoi pystyä seuraamaan käyttäjiä IP-osoitteen kautta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-28906: Ilya Sc. Jowell A.

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28840: Morris Richman (@morrisinlife) ja Andrei Dodu

Quick Look

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-43656: Peter Malone

SceneKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39870: Peter Malone

SceneKit

Saatavuus: macOS Sequoia

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28846: Peter Malone

Shortcuts

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2026-28993: Doron Assness

SMB

Saatavuus: macOS Sequoia

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28848: Peter Malone, Dave G. ja Alex Radocea (Supernetworks)

Spotlight

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2026-28974: Andy Koo (@andykoo, Hexens)

Storage

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28996: Alex Radocea

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Yhdenmukaisuusongelma on korjattu parantamalla tilankäsittelyä.

CVE-2026-28919: Amy (amys.website)

Sync Services

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään yhteystietoja ilman käyttäjän suostumusta.

Kuvaus: kilpailutilanne on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-28924: YingQi Shi (@Mas0nShi, DBAppSecurityn WeBin-laboratorio), Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

TV App

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä tarkastelemaan suojaamattomia käyttäjätietoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2026-39871: nimetön tutkija

Wi-Fi

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28819: Wang Yu

Wi-Fi

Saatavuus: macOS Sequoia

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Wi-Fi-paketteja.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28994: Alex Radocea

zlib

Saatavuus: macOS Sequoia

Vaikutus: haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Kiitokset

Kernel

Haluamme kiittää avusta Ryan Hilemania (Xint Code, xint.io).

Location

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).

OpenSSH

Haluamme kiittää avusta Anand Patilia.