À propos des correctifs de sécurité de macOS Sequoia 15.7.7

Ce document décrit les correctifs de sécurité de macOS Sequoia 15.7.7.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

macOS Sequoia 15.7.7

APFS

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28959 : Dave G.

AppleJPEG

Disponible pour : macOS Sequoia

Conséquence : le traitement d’un fichier multimédia malveillant peut entraîner la fermeture inopinée d’une app ou la corruption de la mémoire du processus.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2026-28956 : impost0r (ret2plt)

Audio

Disponible pour : macOS Sequoia

Conséquence : le traitement d’un flux audio dans un fichier multimédia malveillant peut entraîner l’arrêt du processus

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-39869 : David Ige de Beryllium Security

CoreMedia

Disponible pour : macOS Sequoia

Conséquence : une app pourrait être en mesure d’accéder à des informations confidentielles.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-28922 : Arni Hardarson

Crash Reporter

Disponible pour : macOS Sequoia

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : un problème de confidentialité a été résolu en retirant les données sensibles.

CVE-2026-28878 : Zhongcheng Li d’IES Red Team

CUPS

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’accéder à des privilèges liés à la racine.

Description : un problème d’analyse de la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.

CVE-2026-28915 : Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs

FileProvider

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-43659 : Alex Radocea

GPU Drivers

Disponible pour : macOS Sequoia

Conséquence : une app malveillante peut être en mesure de sortir de son bac à sable

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-28923 : Kun Peeks (@SwayZGl1tZyyy)

HFS

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28925 : Dave G., Aswin Kumar Gokula Kannan

Icons

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure de sortir de son bac à sable.

Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.

CVE-2025-43524 : Csaba Fitzl (@theevilbit) d’Iru

ImageIO

Disponible pour : macOS Sequoia

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2026-28977 : Suresh Sundaram

ImageIO

Disponible pour : macOS Sequoia

Conséquence : le traitement d’une image malveillante peut endommager la mémoire du processus.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28990 : Jiri Ha, Arni Hardarson

Installer

Disponible pour : macOS Sequoia

Conséquence : une app malveillante peut être en mesure de sortir de son bac à sable

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2026-28978 : wdszzml et Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

Disponible pour : macOS Sequoia

Conséquence : un attaquant pourrait être en mesure de provoquer la fermeture inopinée d’une app.

Description : une vulnérabilité liée à la corruption de la mémoire a été résolue par un meilleur verrouillage.

CVE-2026-28992 : Johnny Franks (@zeroxjf)

IOHIDFamily

Disponible pour : macOS Sequoia

Conséquence : une app peut déterminer la structure de la mémoire noyau.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-28943 : Groupe d’analyse des menaces de Google

IOKit

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28969 : Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43654 : Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponible pour : macOS Sequoia

Conséquence : une image disque malveillante peut contourner les contrôles de Gatekeeper.

Description : le contournement d’une mise en quarantaine de fichiers a été corrigé par des vérifications supplémentaires.

CVE-2026-28954 : Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponible pour : macOS Sequoia

Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou de lire le contenu de la mémoire du noyau.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure validation des entrées.

CVE-2026-28897 : Robert Tran, popku1337, Billy Jheng Bing Jhong et Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de dépassement d’entiers a été résolu par une meilleure validation des entrées.

CVE-2026-28952 : Calif.io en collaboration avec Claude et Anthropic Research

Kernel

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.

Description : un problème de déni de service a été résolu en supprimant le code vulnérable.

CVE-2026-28908 : beist

Kernel

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’accéder à des privilèges liés à la racine.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-28951 : Csaba Fitzl (@theevilbit) d’Iru

Kernel

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2026-28972 : Billy Jheng Bing Jhong et Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman de Xint Code (xint.io)

Kernel

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-28986 : Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman de Xint Code (xint.io), Chris Betz

Kernel

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-28987 : Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

Disponible pour : macOS Sequoia

Conséquence : la réponse à un courriel pourrait entraîner l’affichage d’images distantes dans Mail en mode de confinement.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2026-28929 : Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponible pour : macOS Sequoia

Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inattendu du système ou de corrompre la mémoire du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43668 : Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponible pour : macOS Sequoia

Conséquence : un attaquant ayant accès au réseau local peut être à l’origine d’un déni de service.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-43666 : Ian van der Wurff (ian.nl)

Model I/O

Disponible pour : macOS Sequoia

Conséquence : le traitement d’une image malveillante peut endommager la mémoire du processus.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28940 : Michael DePlante (@izobashi) de TrendAI Zero Day Initiative

Model I/O

Disponible pour : macOS Sequoia

Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service ou potentiellement divulguer le contenu de la mémoire.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2026-28941 : Michael DePlante (@izobashi) de TrendAI Zero Day Initiative

Networking

Disponible pour : macOS Sequoia

Conséquence : un attaquant pourrait suivre les utilisateurs par l’entremise de leur adresse IP.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-28906 : Ilya Sc. Jowell A.

PackageKit

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’accéder à des privilèges liés à la racine.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2026-28840 : Morris Richman (@morrisinlife), Andrei Dodu

Quick Look

Disponible pour : macOS Sequoia

Conséquence : l’analyse d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2026-43656 : Peter Malone

SceneKit

Disponible pour : macOS Sequoia

Conséquence : le traitement d’une image malveillante peut endommager la mémoire du processus.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-39870 : Peter Malone

SceneKit

Disponible pour : macOS Sequoia

Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inattendu de l’app.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28846 : Peter Malone

Shortcuts

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par l’ajout d’une invite supplémentaire pour le consentement de l’utilisateur.

CVE-2026-28993 : Doron Assness

SMB

Disponible pour : macOS Sequoia

Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28848 : Peter Malone, Dave G. et Alex Radocea de Supernetworks

Spotlight

Disponible pour : macOS Sequoia

Conséquence : une app peut être à l’origine d’un déni de service.

Description : ce problème a été résolu par l’application de meilleures vérifications pour prévenir les actions non autorisées.

CVE-2026-28974 : Andy Koo (@andykoo) de Hexens

Storage

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-28996 : Alex Radocea

StorageKit

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’accéder à des privilèges liés à la racine.

Description : un problème de cohérence a été résolu par une meilleure gestion des états.

CVE-2026-28919 : Amy (amys.website)

Sync Services

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’accéder à Contacts sans le consentement de l’utilisateur.

Description : un problème de concurrence a été résolu par une meilleure gestion des liens symboliques.

CVE-2026-28924 : YingQi Shi (@Mas0nShi) du laboratoire WeBin de DBAppSecurity, Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs

TV App

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’observer des données utilisateur non sécurisées.

Description : un problème de gestion des chemins a été résolu par une meilleure logique.

CVE-2026-39871 : un chercheur anonyme

Wi-Fi

Disponible pour : macOS Sequoia

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-28819 : Wang Yu

Wi-Fi

Disponible pour : macOS Sequoia

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut mener une attaque par déni de service en utilisant des paquets Wi-Fi malveillants.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28994 : Alex Radocea

zlib

Disponible pour : macOS Sequoia

Conséquence : la consultation d’un site web malveillant peut entraîner la fuite de données confidentielles.

Description : une fuite d’informations a été résolue par une validation supplémentaire.

CVE-2026-28920 : Brendon Tiszka de Google Project Zero

Remerciements supplémentaires

Kernel

Nous tenons à remercier Ryan Hileman de Xint Code (xint.io) pour son aide.

Location

Nous tenons à remercier Kun Peeks (@SwayZGl1tZyyy) pour son aide.

OpenSSH

Nous tenons à remercier Anand Patil pour son aide.