Informacije o sigurnosnom sadržaju sustava macOS Tahoe 26.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Tahoe 26.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Tahoe 26.2

App Store

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim podacima o tokenima za plaćanje

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-46288: floeki, Zhongcheng Li (IES Red Team, ByteDance)

AppleJPEG

Dostupno za: macOS Tahoe

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43523: anonimni istraživač

CVE-2025-43519: anonimni istraživač

AppleMobileFileIntegrity

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2025-43522: anonimni istraživač

AppleMobileFileIntegrity

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2025-43521: anonimni istraživač

AppSandbox

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.

CVE-2025-46289: anonimni istraživač

Audio

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2025-43482: Jex Amro, Michael Reeves (@IntegralPilot)

Call History

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2025-43517: Wojciech Regula of SecuRing (wojciechregula.blog)

Calling Framework

Dostupno za: macOS Tahoe

Učinak: napadač bi mogao lažirati svoj FaceTime ID pozivatelja

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-46287: anonimni istraživač, Riley Walz

CoreServices

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2025-46283: anonimni istraživač

curl

Dostupno za: macOS Tahoe

Učinak: veći broj problema u medijateci curl

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Dostupno za: macOS Tahoe

Učinak: polja s lozinkama mogla bi se nehotično otkriti prilikom daljinskog upravljanja uređajem putem FaceTimea

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-43542: Yiğit Ocak

File Bookmark

Dostupno za: macOS Tahoe

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-46281: anonimni istraživač

Foundation

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla neprimjereno pristupati datotekama putem API-ja za provjeru pravopisa

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Dostupno za: macOS Tahoe

Učinak: obrada zlonamjernih podataka može uzrokovati neočekivani prestanak rada aplikacije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom granica.

CVE-2025-43532: Andrew Calvano i Lucas Pinheiro (Meta Product Security)

Game Center

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-46278: Kirin (@Pwnrin) i LFY (@secsys) (Sveučilište Fudan)

Icons

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-43512: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

Kernel

Dostupno za: macOS Tahoe

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: prekoračenje cijelih brojeva riješeno je primjenom 64-bitnih vremenskih oznaka.

CVE-2025-46285: Kaitao Xie i Xiaolong Bai (Alibaba Group)

LaunchServices

Dostupno za: macOS Tahoe

Učinak: aplikacija može zaobići provjere alata Gatekeeper

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2025-46291: Kenneth Chew

libarchive

Dostupno za: macOS Tahoe

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-5918

MDM Configuration Tools

Dostupno za: macOS Tahoe

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem s dozvolama riješen je uklanjanjem koda sa slabim točkama.

CVE-2025-43513: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

Poruke

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s otkrivanjem informacija riješen je poboljšanjem značajki za zaštitu privatnosti.

CVE-2025-46276: Rosyna Keller (Totally Not Malicious Software)

Multi-Touch

Dostupno za: macOS Tahoe

Učinak: zlonamjerni HID uređaj mogao bi uzrokovati neočekivano prekidanje procesa

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43533: Googleov tim Threat Analysis Group

Networking

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin (SecLab, Državno sveučilište Ohio)

Notes

Dostupno za: macOS Tahoe

Učinak: napadač koji ima fizički pristup mogao bi pregledavati izbrisane bilješke

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-43410: Atul R V

Fotografije

Dostupno za: macOS Tahoe

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2025-43428: anonimni istraživač, Michael Schmutzer (Technische Hochschule Ingolstadt)

Safari

Dostupno za: macOS Tahoe

Učinak: na Macu s aktiviranim modom zaključavanja web-sadržaj otvoren putem URL-a mogao bi upotrebljavati WEB API-jeve koji bi trebali biti ograničeni

Opis: problem je riješen poboljšanom provjerom URL-a.

CVE-2025-43526: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

Safari Downloads

Dostupno za: macOS Tahoe

Učinak: podrijetlo preuzimanja može biti neispravno zaključeno

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-8906: @retsew0x01

Screen Time

Dostupno za: macOS Tahoe

Učinak: neka bi aplikacija mogla pristupiti korisnikovoj povijesti u pregledniku Safari

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43538: Iván Savransky

Siri

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-43514: Morris Richman (@morrisinlife)

SoftwareUpdate

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43519: anonimni istraživač

StorageKit

Dostupno za: macOS Tahoe

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43527: anonimni istraživač

sudo

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Glasovno upravljanje

Dostupno za: macOS Tahoe

Učinak: korisnik koje je aktivirao Upravljanje glasom mogao bi transkribirati aktivnosti nekog drugog korisnika

Opis: problem s upravljanjem sesijom riješen je poboljšanim provjerama.

CVE-2025-43516: Kay Belardinelli (Sveučilište Harvard)

VoiceOver

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2025-43530: Mickey Jin (@patch1t)

WebKit

Dostupno za: macOS Tahoe

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2025-46282: Wojciech Regula (SecuRing) (wojciechregula.blog)

WebKit

Dostupno za: macOS Tahoe

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43541: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

WebKit

Dostupno za: macOS Tahoe

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Dostupno za: macOS Tahoe

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Dostupno za: macOS Tahoe

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43501: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

WebKit

Dostupno za: macOS Tahoe

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43531: Phil Pizlo (Epic Games)

WebKit

Dostupno za: macOS Tahoe

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem može iskoristiti u iznimno sofisticiranom napadu na određene ciljane pojedince u verzijama sustava iOS starijima od sustava iOS 26. Objavljen je i CVE-2025-14174 kao odgovor na ovo izvješće.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43529: Googleov tim Threat Analysis Group

WebKit

Dostupno za: macOS Tahoe

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije. Apple je upoznat s izvješćem da se ovaj problem može iskoristiti u iznimno sofisticiranom napadu na određene ciljane pojedince u verzijama sustava iOS starijima od sustava iOS 26. Objavljen je i CVE-2025-43529 kao odgovor na ovo izvješće.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2025-14174: Appleov i Googleov tim Threat Analysis Group

WebKit Web Inspector

Dostupno za: macOS Tahoe

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43511: 이동하 (Lee Dong Ha of BoB 14th)

Dodatna zahvala

AppleMobileFileIntegrity

Na pomoći zahvaljujemo anonimnom istraživaču.

AppSandbox

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

Kontrolni centar

Na pomoći zahvaljujemo anonimnom istraživaču.

Core Services

Zahvaljujemo tvrtki Golden Helm Securities na pomoći.

FileVault

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon) i Joelu Petersonu (@sekkyo).

Safari

Na pomoći zahvaljujemo Mochammadu Nosi Shandyju Prastyou.

Sandbox

Na pomoći zahvaljujemo Arnaudu Abbatiju.

Glasovno upravljanje

Zahvaljujemo tvrtki PixiePoint Security na pomoći.

WebKit

Zahvaljujemo Gevi Nurgandiju Syahputri (gevakun) na pomoći.