מידע על תוכן האבטחה של macOS Sequoia 15.7.5

מסמך זה מתאר את תוכן האבטחה של macOS Sequoia 15.7.5.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

macOS Sequoia 15.7.5

הופץ ב-24 במרץ 2026

802.1X

זמין עבור: macOS Sequoia

השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28865: ‏Héloïse Gollier ו-Mathy Vanhoef ‏(KU Leuven)

Accounts

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28877: ‏Rosyna Keller מ-Totally Not Malicious Software

apache

זמין עבור: macOS Sequoia

השפעה: מספר בעיות ב-Apache

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleKeyStore

זמין עבור: macOS Sequoia

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-20637: ‏Johnny Franks ‏(zeroxjf), חוקר אנונימי

AppleMobileFileIntegrity

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28824: ‏Mickey Jin (‏@patch1t)

AppleMobileFileIntegrity

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2026-20699: ‏Mickey Jin ‏‏(‏‎‏@patch1t)

Audio

זמין עבור: macOS Sequoia

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2026-28879‏: Justin Cohen מ-Google

Audio

זמין עבור: macOS Sequoia

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28822: ‏Jex Amro

Calling Framework

זמין עבור: macOS Sequoia

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2026-28894: חוקר אנונימי

CFNetwork

זמין עבור: macOS Sequoia

השפעה: משתמש מרוחק עלול להצליח לכתוב קבצים שרירותיים

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2026-20660: ‏Amy ‏(amys.website)

Clipboard

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2026-28866‏: Cristian Dinca ‏(icmd.tech)‏

configd

זמין עבור: macOS Sequoia

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2026-20639: ‏‎@cloudlldb מ-‎@pixiepointsec

CoreMedia

זמין עבור: macOS Sequoia

השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול לסיים את התהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-20690: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreServices

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית אימות קיימת בטיפול באימות זכאות. בעיה זו תוקנה באמצעות אימות משופר של תהליך הזכאות.

CVE-2026-28821: ‏YingQi Shi (‏@Mas0nShi) מ-DBAppSecurity's WeBin lab

CoreServices

זמין עבור: macOS Sequoia

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית הרשאות טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2026-28838: חוקר אנונימי

CoreUtils

זמין עבור: macOS Sequoia

השפעה: משתמש במיקום רשת מורשה עלול להצליח לגרום למניעת שירות

תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.

CVE-2026-28886: ‏Etienne Charron ‏(Renault) ו-Victoria Martini ‏(Renault)

CUPS

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2026-28888: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

curl

זמין עבור: macOS Sequoia

השפעה: בעיה ב-curl עלולה הייתה לגרום לשליחה לא מכוונת של מידע רגיש דרך חיבור שגוי

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-14524

DesktopServices

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2026-20633: ‏Mickey Jin ‏‏(‎‏@patch1t)

DeviceLink

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2026-28876‏: Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

Diagnostics

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה על ידי הסרת הקוד הפגיע.

CVE-2026-28892: ‏风沐云烟 (‏@binary_fmyy) ו-Minghao Lin (‏@Y1nKoc)

File System

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-28832: ‏DARKNAVY (‏@DarkNavyOrg)

Focus

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-20668: ‏Kirin (‏@Pwnrin)

GPU Drivers

זמין עבור: macOS Sequoia

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2026-28834: חוקר אנונימי

iCloud

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28880‏: Zhongcheng Li מ-IES Red Team

ImageIO

זמין עבור: macOS Sequoia

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-64505

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28868:‏ 이동하 (‏Lee Dong Ha of BoB 0xB6)

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיה זו טופלה באמצעות אימות משופר.

CVE-2026-28867: ‏Jian Lee ‏(‎@speedyfriend433)

Kernel

זמין עבור: macOS Sequoia

השפעה: אפליקציה עשויה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול זיכרון משופר.

CVE-2026-20695: ‏이동하 (‏Lee Dong Ha of BoB 0xB6) בעבודה עם TrendAI Zero Day Initiative, ‏hari shanmugam

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-20687: ‏Johnny Franks (‏@zeroxjf)

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28829: ‏Sreejith Krishnan R

libxpc

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-20607: חוקר אנונימי

Mail

זמין עבור: macOS Sequoia

השפעה: הפעולות "הסתרת כתובת ה-IP" ו"חסימת כל התוכן המרוחק" עשויות לא לחול על כל התוכן בדואר

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.

CVE-2026-20692: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

mDNSResponder

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיה זו טופלה באמצעות אימות משופר.

CVE-2026-28867: ‏Jian Lee ‏(‎@speedyfriend433)

Messages

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2026-20651: ‏Chunyu Song מ-NorthSea

MigrationKit

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2026-20694: ‏Rodolphe Brunetti (‏@eisw0lf) מ-Lupus Nova

NetAuth

זמין עבור: macOS Sequoia

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-28891: חוקר אנונימי

NetAuth

זמין עבור: macOS Sequoia

השפעה: ייתכן שהיישום יוכל להתחבר לשיתוף רשת ללא הסכמת המשתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2026-20701:‏ Matej Moravec‏ (@MacejkoMoravec)

NetAuth

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2026-28839: ‏Mickey Jin ‏‏(‎‏@patch1t)

NetFSFramework

זמין עבור: macOS Sequoia

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2026-28827: ‏Csaba Fitzl‏ (‎‏@theevilbit) מ-Iru, חוקר אנונימי

Notes

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2026-28816: ‏Dawuge מ-Shuffle Team ו-Hunan University

PackageKit

זמין עבור: macOS Sequoia

השפעה: תוקף עם הרשאות בסיס עלול להצליח למחוק קובצי מערכת מוגנים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20693: ‏Mickey Jin ‏‏(‎‏@patch1t)

Phone

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2026-28862: ‏Kun Peeks (‏@SwayZGl1tZyyy)

Printing

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28831: חוקר אנונימי

Printing

זמין עבור: macOS Sequoia

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2026-28817:‏ Gyujeong Jin (‏@G1uN4sh) ב-Team.0xb6

Printing

זמין עבור: macOS Sequoia

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2026-20688: ‏wdszzml ו-Atuin Automated Vulnerability Discovery Engine

אבטחה

זמין עבור: macOS Sequoia

השפעה: תוקף מקומי עלול לקבל גישה לפריטי 'צרור מפתחות' של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקת הרשאות משופרת.

CVE-2026-28864: ‏Alex Radocea

SMB

זמין עבור: macOS Sequoia

השפעה: התקנת פלח רשת SMB בעל מבנה זדוני עלול להוביל לסיום של פעולת המערכת

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2026-28835: ‏Christian Kohlschütter

SMB

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-28825: ‏Sreejith Krishnan R

Spotlight

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2026-20699: ‏Mickey Jin ‏‏(‏‎‏@patch1t)

Spotlight

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28818: ‏@pixiepointsec

Spotlight

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-20697: ‏@pixiepointsec

TCC

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה על ידי הסרת הקוד הפגיע.

CVE-2026-28828: ‏Mickey Jin ‏‏(‎‏@patch1t)

UIFoundation

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: גלישת מחסנית טופלה בעזרת אימות קלט משופר.

CVE-2026-28852: ‏Caspian Tarafdar

Vision

זמין עבור: macOS Sequoia

השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20657: ‏Andrew Becker

WebDAV

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28829: ‏Sreejith Krishnan R

תודות נוספות

Admin Framework

אנחנו מבקשים להודות ל-Sota Toyokura על הסיוע.

CoreServices

אנחנו מבקשים להודות ל-YingQi Shi ‏(‎@Mas0nShi) ממעבדת WeBin ב-DBAppSecurity, ‏Fein, ‏Iccccc ו-Ziiiro‏ על הסיוע.

IOGPUFamily

אנחנו מבקשים להודות ל-Wang Yu מ-Cyberserval על הסיוע.

Kernel

אנחנו מבקשים להודות ל-Xinru Chi מ-Pangu Lab על הסיוע.

Notes

אנחנו מבקשים להודות ל-Dawuge מ-Shuffle Team ו-Hunan University על הסיוע.

ppp

אנחנו מבקשים להודות ל-Dave G.‎ על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-Waleed Barakat (‏@WilDN00B) ו-Paul Montgomery (‏@nullevent) על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: