מידע על תוכן האבטחה של macOS Sonoma 14.8.4
מסמך זה מתאר את תוכן האבטחה של macOS Sonoma 14.8.4.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
macOS Sonoma 14.8.4
הופץ ב-11 בפברואר 2026
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית החדרה טופלה באמצעות אימות משופר.
CVE-2026-20624: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.
CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)
CFNetwork
זמין עבור: macOS Sonoma
השפעה: משתמש מרוחק עלול להצליח לכתוב קבצים שרירותיים
תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.
CVE-2026-20660: Amy (amys.website)
Compression
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2025-43403: Mickey Jin (@patch1t)
CoreAudio
זמין עבור: macOS Sonoma
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-20611: אנונימי בעבודה עם Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: macOS Sonoma
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)
CoreServices
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) מ-Iru
CoreServices
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2026-20615: Csaba Fitzl (@theevilbit) מ-Iru ו-Gergely Kalman (@gergely_kalman)
CoreServices
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2025-46283: חוקר אנונימי
CoreServices
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הייתה בעיה בטיפול במשתני סביבה. בעיה זו טופלה באמצעות שיפור האימות.
CVE-2026-20627: חוקר אנונימי
File Bookmark
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.
CVE-2025-43417: Ron Elemans
GPU Drivers
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2026-20620: Murray Mike
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-43338: 이동하 (Lee Dong Ha) ממעבדת SSA Lab
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20634: George Karchemsky (@gkarchemsky) בעבודה עם Trend Micro Zero Day Initiative
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לחשיפת מידע אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2026-20675: George Karchemsky (@gkarchemsky) בעבודה עם Trend Micro Zero Day Initiative
Kernel
זמין עבור: macOS Sonoma
השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef
libexpat
זמין עבור: macOS Sonoma
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2025-59375
libnetcore
זמין עבור: macOS Sonoma
השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef
libxpc
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2026-20667: חוקר אנונימי
זמין עבור: macOS Sonoma
השפעה: השבתה של 'טען תוכן מרוחק בהודעות' עלולה שלא לחול על כל התצוגות המקדימות של דואר
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2026-20673: חוקר אנונימי
Messages
זמין עבור: macOS Sonoma
השפעה: קיצור דרך עלול להצליח לעקוף הגבלות של 'ארגז החול'
תיאור: מצב מרוץ טופל באמצעות טיפול משופר בקישורים סמליים.
CVE-2026-20677: Ron Masas מ-BreakPoint.SH
Model I/O
זמין עבור: macOS Sonoma
השפעה: עיבוד קובץ USD בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-20616: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
Multi-Touch
זמין עבור: macOS Sonoma
השפעה: התקן ממשק אנושי (HID) זדוני עשוי לגרום לתהליך לקרוס באופן בלתי צפוי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2025-43533: Google Threat Analysis Group
CVE-2025-46300: Google Threat Analysis Group
CVE-2025-46301: Google Threat Analysis Group
CVE-2025-46302: Google Threat Analysis Group
CVE-2025-46303: Google Threat Analysis Group
CVE-2025-46304: Google Threat Analysis Group
CVE-2025-46305: Google Threat Analysis Group
PackageKit
זמין עבור: macOS Sonoma
השפעה: תוקף עם הרשאות בסיס עלול להצליח למחוק קובצי מערכת מוגנים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2025-46310: Mickey Jin (@patch1t)
Remote Management
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2026-20614: Gergely Kalman (@gergely_kalman)
Sandbox
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2026-20628: Noah Gregory (wts.dev)
Security
זמין עבור: macOS Sonoma
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2025-46290: Bing Shi, Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, ו-Luyi Xing מ-Indiana University Bloomington
Shortcuts
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.
CVE-2026-20653: Enis Maholli (enismaholli.com)
Spotlight
זמין עבור: macOS Sonoma
השפעה: יישום עם תכונת 'ארגז חול' עשוי להיות מסוגל לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.
CVE-2026-20680: חוקר אנונימי
Spotlight
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.
CVE-2026-20612: Mickey Jin (@patch1t)
StoreKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש
תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.
CVE-2026-20641: Gongyu Ma (@Mezone0)
UIKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2026-20606: LeminLimez
Voice Control
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגרום לקריסת תהליך מערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20605: @cloudlldb מ-@pixiepointsec
Wi-Fi
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20621: Wang Yu מ-Cyberserval
WindowServer
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-43402: @cloudlldb מ-@pixiepointsec
WindowServer
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2026-20602: @cloudlldb מ-@pixiepointsec
תודות נוספות
CoreServices
אנחנו מבקשים להודות ל-Golden Helm Securities, ל-YingQi Shi (@Mas0nShi) מ-DBAppSecurity's WeBin lab, ל-Csaba Fitzl (@theevilbit) מ-Iru ול-Gergely Kalman (@gergely_kalman) על הסיוע.
Kernel
אנחנו מבקשים להודות ל-Xinru Chi מ-Pangu Lab על הסיוע.
libpthread
אנחנו מבקשים להודות ל-Fabiano Anemone על הסיוע.
WindowServer
אנחנו מבקשים להודות ל-@cloudlldb מ-@pixiepointsec על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.