מידע על תוכן האבטחה של macOS Tahoe 26.2

המסמך הזה מתאר את תוכן האבטחה של macOS Tahoe 26.2.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

macOS Tahoe 26.2

App Store

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לאסימוני תשלום רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-46288: ‏floeki, ‏Zhongcheng Li מ-IES Red Team ב-ByteDance

AppleJPEG

זמין עבור: macOS Tahoe

השפעה: עיבוד קובץ עלול להוביל להשחתת זיכרון

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2025-43539‏: Michael Reeves ‏(‎@IntegralPilot)

AppleMobileFileIntegrity

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43523: חוקר אנונימי

CVE-2025-43519: חוקר אנונימי

AppleMobileFileIntegrity

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2025-43522: חוקר אנונימי

AppleMobileFileIntegrity

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2025-43521: חוקר אנונימי

AppSandbox

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.

CVE-2025-46289: חוקר אנונימי

Audio

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

CVE-2025-43482: ‏Jex Amro, ‏Michael Reeves ‏(@IntegralPilot)

Call History

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2025-43517: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

Calling Framework

זמין עבור: macOS Tahoe

השפעה: תוקף עלול לזייף את מזהה המתקשר שלו ב-FaceTime

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2025-46287: חוקר אנונימי, Riley Walz

CoreServices

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2025-46283: חוקר אנונימי

curl

זמין עבור: macOS Tahoe

השפעה: מספר בעיות ב-curl

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

זמין עבור: macOS Tahoe

השפעה: שדות סיסמה עלולים להיחשף באופן לא מכוון במהלך שליטה מרחוק במכשיר דרך FaceTime

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43542‏: Yiğit Ocak

File Bookmark

זמין עבור: macOS Tahoe

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-46281: חוקר אנונימי

Foundation

זמין עבור: macOS Tahoe

השפעה: עשויה להיות ליישום גישה לא הולמת לקבצים דרך ה-API של בודק האיות

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-43518: ‏Noah Gregory ‏(wts.dev)

Foundation

זמין עבור: macOS Tahoe

השפעה: עיבוד נתונים זדוניים עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית השחתת זיכרון טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43532: ‏Andrew Calvano ו-Lucas Pinheiro מ-Meta Product Security

Game Center

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2025-46278: ‏Kirin ‏(@Pwnrin) ו-LFY (@secsys) מ-Fudan University

Icons

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-46279‏: Duy Trần‏ (‎@khanhduytran0)

Kernel

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-43512: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

Kernel

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: גלישת מספרים שלמים טופלה על ידי הטמעת חותמות זמן של 64 סיביות.

CVE-2025-46285‏: Kaitao Xie ו-Xiaolong Bai מ-Alibaba Group

LaunchServices

זמין עבור: macOS Tahoe

השפעה: יישום עלול לעקוף בדיקות של Gatekeeper

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2025-46291:‏ Kenneth Chew

libarchive

זמין עבור: macOS Tahoe

השפעה: עיבוד קובץ עלול להוביל להשחתת זיכרון

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-5918

MDM Configuration Tools

זמין עבור: macOS Tahoe

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית הרשאות טופלה על ידי הסרת הקוד הפגיע.

CVE-2025-43513: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

Messages

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה של חשיפת מידע טופלה באמצעות בקרות פרטיוּת משופרות.

CVE-2025-46276: ‏Rosyna Keller מ-Totally Not Malicious Software

Multi-Touch

זמין עבור: macOS Tahoe

השפעה: התקן ממשק אנושי (HID) זדוני עשוי לגרום לתהליך לקרוס באופן בלתי צפוי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2025-43533: ‏Google Threat Analysis Group

Networking

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2025-43509‏: Haoling Zhou‏, Shixuan Zhao ‏(‎@NSKernel)‏, Chao Wang ‏(‎@evi0s)‏, Zhiqiang Lin מ-SecLab שבאוניברסיטת מדינת אוהיו

Notes

זמין עבור: macOS Tahoe

השפעה: תוקף עם גישה פיזית עשוי להיות מסוגל לראות פתקים שנמחקו

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2025-43410: Atul R V

Photos

זמין עבור: macOS Tahoe

השפעה: ייתכן שתמונות באלבום 'תמונות מוסתרות' יוצגו ללא אימות

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2025-43428: חוקר אנונימי, Michael Schmutzer מ-Technische Hochschule Ingolstadt

Safari

זמין עבור: macOS Tahoe

השפעה: ב-Mac שמופעל בו 'מצב נעילה', תוכן מהאינטרנט שנפתח דרך כתובת URL של קובץ עשוי להיות מסוגל להשתמש בממשקי API אינטרנטיים שאמורים להיות מוגבלים

תיאור: בעיה זו טופלה באמצעות אימות משופר של כתובות URL.

CVE-2025-43526: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

Safari Downloads

זמין עבור: macOS Tahoe

השפעה: מקור הורדה עשוי להיות משויך באופן שגוי

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-8906‏: ‎@retsew0x01

Screen Time

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת להיסטוריה של המשתמש ב-Safari

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-46277: ‏Kirin‏ (‎@Pwnrin)

Screen Time

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-43538: ‏Iván Savransky

Siri

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2025-43514‏: Morris Richman‏ (‎@morrisinlife)

SoftwareUpdate

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43519: חוקר אנונימי

StorageKit

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43527: חוקר אנונימי

sudo

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2025-43416‏: Gergely Kalman ‏(‎@gergely_kalman)

Voice Control

זמין עבור: macOS Tahoe

השפעה: משתמש שמופעלת אצלו 'שליטה קולית' עשוי להיות מסוגל לתמלל פעילות של משתמש אחר

תיאור: בעיה בניהול הפעלות טופלה באמצעות בדיקות משופרות.

CVE-2025-43516‏: Kay Belardinelli (אוניברסיטת הרווארד)

‎VoiceOver‎

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2025-43530‏: Mickey Jin ‏(‎@patch1t)

WebKit

זמין עבור: macOS Tahoe

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2025-46282: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

WebKit

זמין עבור: macOS Tahoe

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.

CVE-2025-43541: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

WebKit

זמין עבור: macOS Tahoe

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-43536: ‏Nan Wang ‏(‎@eternalsakura13)

WebKit

זמין עבור: macOS Tahoe

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43535: ‏Google Big Sleep, ‏Nan Wang ‏(‎@eternalsakura13)

WebKit

זמין עבור: macOS Tahoe

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43501: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

WebKit

זמין עבור: macOS Tahoe

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2025-43531: ‏Phil Pizlo מ-Epic Games

WebKit

זמין עבור: macOS Tahoe

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה בהתקפה מתוחכמת במיוחד כנגד אנשים ספציפיים בגרסאות iOS שקדמו ל-iOS 26. הופק גם CVE-2025-14174 בתגובה לדיווח הזה.

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-43529: ‏Google Threat Analysis Group

WebKit

זמין עבור: macOS Tahoe

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה בהתקפה מתוחכמת במיוחד כנגד אנשים ספציפיים בגרסאות iOS שקדמו ל-iOS 26. הופק גם CVE-2025-43529 בתגובה לדיווח הזה.

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2025-14174: ‏Apple ו-Google Threat Analysis Group

WebKit Web Inspector

זמין עבור: macOS Tahoe

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-43511:‏ 이동하 (‏Lee Dong Ha מ- BoB 14th)

תודות נוספות

AppleMobileFileIntegrity

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

AppSandbox

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

Control Center

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Core Services

אנחנו מבקשים להודות ל-Golden Helm Securities על הסיוע.

FileVault

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(@calysteon) ו-Joel Peterson ‏(@sekkyo) על הסיוע.

Safari

אנחנו מבקשים להודות ל-Mochammad Nosa Shandy Prastyo על הסיוע.

Sandbox

אנחנו מבקשים להודות ל-Arnaud Abbati על הסיוע.

Voice Control

אנחנו מבקשים להודות ל-PixiePoint Security על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Geva Nurgandi Syahputra ‏(gevakun) על הסיוע.