Tietoja macOS Sonoma 14.8.7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sonoma 14.8.7:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sonoma 14.8.7

APFS

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28959: Dave G.

AppleJPEG

Saatavuus: macOS Sonoma

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28956: impost0r (ret2plt)

Audio

Saatavuus: macOS Sonoma

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39869: David Ige (Beryllium Security)

CoreMedia

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-28922: Arni Hardarson

CoreServices

Saatavuus: macOS Sonoma

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs)

CUPS

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28915: Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs)

FileProvider

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-43659: Alex Radocea

GPU Drivers

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28925: Dave G., Aswin Kumar Gokula Kannan

Icons

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43524: Csaba Fitzl (@theevilbit, Iru)

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-28977: Suresh Sundaram

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28990: Jiri Ha ja Arni Hardarson

Installer

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28978: wdszzml ja Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking ja Ashish Kunwar

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43654: Vaagn Vardanian ja Nathaniel Oh (@calysteon)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: haitallinen levytiedosto saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: tiedostokaranteenin ohittaminen on ratkaistu lisäämällä tarkistuksia.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla saapuvien tietojen tarkistusta.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927, STAR Labs SG Pte. Ltd.) ja Aswin kumar Gokulakannan

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28952: Calif.io yhteistyössä Clauden ja Anthropic Researchin kanssa

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: palvelunesto-ongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28908: beist

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28951: Csaba Fitzl (@theevilbit, Iru)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28972: Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927, STAR Labs SG Pte. Ltd.) ja Ryan Hileman (Xint Code, xint.io)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28986: Tristan Madani (@TristanInSec, Talence Security), Ryan Hileman (Xint Code, xint.io) ja Chris Betz

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

Saatavuus: macOS Sonoma

Vaikutus: sähköpostiin vastaaminen saattoi näyttää etäkuvia Mailissa sulkutilassa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43653: Atul R V

mDNSResponder

Saatavuus: macOS Sonoma

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-43668: Anton Pakhunov ja Ricardo Prado

mDNSResponder

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Networking

Saatavuus: macOS Sonoma

Vaikutus: Hyökkääjä saattoi pystyä seuraamaan käyttäjiä IP-osoitteen kautta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-28906: Ilya Sc. Jowell A.

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28840: Morris Richman (@morrisinlife) ja Andrei Dodu

Quick Look

Saatavuus: macOS Sonoma

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-43656: Peter Malone

SceneKit

Saatavuus: macOS Sonoma

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39870: Peter Malone

SceneKit

Saatavuus: macOS Sonoma

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28846: Peter Malone

Shortcuts

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2026-28993: Doron Assness

Storage

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28996: Alex Radocea

StorageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Yhdenmukaisuusongelma on korjattu parantamalla tilankäsittelyä.

CVE-2026-28919: Amy (amys.website)

Sync Services

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään yhteystietoja ilman käyttäjän suostumusta.

Kuvaus: kilpailutilanne on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-28924: YingQi Shi (@Mas0nShi, DBAppSecurityn WeBin-laboratorio), Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs)

TV App

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä tarkastelemaan suojaamattomia käyttäjätietoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2026-39871: nimetön tutkija

Wi-Fi

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28819: Wang Yu

Wi-Fi

Saatavuus: macOS Sonoma

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Wi-Fi-paketteja.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28994: Alex Radocea

zlib

Saatavuus: macOS Sonoma

Vaikutus: haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Kiitokset

Kernel

Haluamme kiittää avusta Ryan Hilemania (Xint Code, xint.io).