מידע על תוכן האבטחה של macOS Sequoia 15.7.7

מסמך זה מתאר את תוכן האבטחה של macOS Sequoia 15.7.7.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

macOS Sequoia 15.7.7

APFS

זמין עבור: macOS Sequoia

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28959‏: Dave G.‎

AppleJPEG

זמין עבור: macOS Sequoia

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2026-28956‏: impost0r ‏(ret2plt)

Audio

זמין עבור: macOS Sequoia

השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול להביא לסיום התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-39869‏: David Ige מ-Beryllium Security

CoreMedia

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת למידע פרטי

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28922:‏ Arni Hardarson

Crash Reporter

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2026-28878: ‏Zhongcheng Li מ-IES Red Team

CUPS

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2026-28915: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

FileProvider

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-43659: ‏Alex Radocea

GPU Drivers

זמין עבור: macOS Sequoia

השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28923:‏ Kun Peeks‏ (‎@SwayZGl1tZyyy)

HFS

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28925‏: Dave G.‎, ‏Aswin Kumar Gokula Kannan

Icons

זמין עבור: macOS Sequoia

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2025-43524: ‏Csaba Fitzl ‏(‎@theevilbit) מ-Iru

ImageIO

זמין עבור: macOS Sequoia

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2026-28977‏: Suresh Sundaram

ImageIO

זמין עבור: macOS Sequoia

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28990‏: Jiri Ha‏, Arni Hardarson

Installer

זמין עבור: macOS Sequoia

השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28978‏: wdszzml ו-Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

זמין עבור: macOS Sequoia

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.

CVE-2026-28992:‏ Johnny Franks‏ (‎@zeroxjf)

IOHIDFamily

זמין עבור: macOS Sequoia

השפעה: אפליקציה עשויה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28943: ‏Google Threat Analysis Group

IOKit

זמין עבור: macOS Sequoia

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-28969‏: Mihalis Haatainen,‏ Ari Hawking‏, Ashish Kunwar

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-43654‏: Vaagn Vardanian‏, Nathaniel Oh ‏(‎@calysteon)

Kernel

זמין עבור: macOS Sequoia

השפעה: דמות כונן בעלת מבנה זדוני עלולה לעקוף את הבדיקות של Gatekeeper

תיאור: מעקף של הסגר קבצים טופל באמצעות בדיקות נוספות.

CVE-2026-28954: ‏Yiğit Can YILMAZ ‏(‎@yilmazcanyigit)

Kernel

זמין עבור: macOS Sequoia

השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה

תיאור: גלישת חוצץ טופלה ואימות הקלט שופר.

CVE-2026-28897‏: Robert Tran‏, popku1337, ‏Billy Jheng Bing Jhong ו-Pan Zhenpeng ‏(‎@Peterpan0927) מ-STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2026-28952: ‏Calif.io בשיתוף פעולה עם Claude ו-Anthropic Research

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית מניעת שירות טופלה על ידי הסרת הקוד הפגיע.

CVE-2026-28908‏: beist

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28951: ‏Csaba Fitzl ‏(‎@theevilbit) מ-Iru

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2026-28972‏: Billy Jheng Bing Jhong ו-Pan Zhenpeng ‏(‎@Peterpan0927) מ-STAR Labs SG Pte. Ltd., Ryan Hileman דרך Xint Code (‏xint.io)

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-28986‏: Tristan Madani ‏(‎@TristanInSec) מ-Talence Security‏, Ryan Hileman דרך Xint Code ‏(xint.io)‏, Chris Betz

Kernel

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28987‏: Dhiyanesh Selvaraj ‏(‎@redroot97)

Mail Drafts

זמין עבור: macOS Sequoia

השפעה: מענה לדוא"ל עלול לגרום להצגת תמונות מרוחקות ב'דואר' ב'מצב נעילה'

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2026-28929: ‏Yiğit Can YILMAZ ‏(‎@yilmazcanyigit)

mDNSResponder

זמין עבור: macOS Sequoia

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-43668‏: Ricardo Prado‏, Anton Pakhunov

mDNSResponder

זמין עבור: macOS Sequoia

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-43666‏: Ian van der Wurff ‏(ian.nl)

Model I/O

זמין עבור: macOS Sequoia

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28940‏: Michael DePlante ‏(‎@izobashi) מ-TrendAI Zero Day Initiative

Model I/O

זמין עבור: macOS Sequoia

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2026-28941‏: Michael DePlante ‏(‎@izobashi) מ-TrendAI Zero Day Initiative

Networking

זמין עבור: macOS Sequoia

השפעה: ייתכן שתוקף יוכל לעקוב אחר משתמשים באמצעות כתובת ה-IP שלהם

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28906‏: Ilya Sc.‎ Jowell A.‎

PackageKit

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28840‏: Morris Richman ‏(‎@morrisinlife)‏, Andrei Dodu

Quick Look

זמין עבור: macOS Sequoia

השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2026-43656‏: Peter Malone

SceneKit

זמין עבור: macOS Sequoia

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-39870‏: Peter Malone

SceneKit

זמין עבור: macOS Sequoia

השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28846‏: Peter Malone

Shortcuts

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2026-28993‏: Doron Assness

SMB

זמין עבור: macOS Sequoia

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28848‏: Peter Malone‏, Dave G.‎ ו-Alex Radocea מ-Supernetworks

Spotlight

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.

CVE-2026-28974‏: Andy Koo ‏(‎@andykoo) מ-Hexens

Storage

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-28996:‏ Alex Radocea

StorageKit

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית עקביות טופלה באמצעות טיפול משופר במצבים.

CVE-2026-28919: ‏Amy ‏(amys.website)

Sync Services

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח לגשת ל-Contacts ללא הסכמת המשתמש

תיאור: מצב מרוץ טופל באמצעות טיפול משופר בקישורים סימבוליים.

CVE-2026-28924‏: YingQi Shi ‏(‎@Mas0nShi) מ-DBAppSecurity's WeBin lab‏, Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

TV App

זמין עבור: macOS Sequoia

השפעה: ייתכן שיישום יוכל לצפות בנתוני משתמש לא מוגנים

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2026-39871: חוקר אנונימי

Wi-Fi

זמין עבור: macOS Sequoia

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-28819‏: Wang Yu

Wi-Fi

זמין עבור: macOS Sequoia

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות רשת אלחוטית שהורכבו במיוחד

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-28994‏: Alex Radocea

zlib‏

זמין עבור: macOS Sequoia

השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים

תיאור: דליפת מידע טופלה עם אימות נוסף.

CVE-2026-28920: ‏Brendon Tiszka מ-Google Project Zero

תודות נוספות

Kernel

אנחנו מבקשים להודות ל-Ryan Hileman דרך Xint Code (‏xint.io) על הסיוע.

Location

אנחנו מבקשים להודות ל-Kun Peeks ‏(‎@SwayZGl1tZyyy) על הסיוע.

OpenSSH

אנחנו מבקשים להודות ל-Anand Patil על הסיוע.