Informacije o sigurnosnom sadržaju sustava macOS Sonoma 14.8.4
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sonoma 14.8.4.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.8.4
Objavljeno 11. veljače 2026.
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti.
CVE-2026-20624: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)
CFNetwork
Dostupno za: macOS Sonoma
Učinak: udaljeni korisnik mogao bi zapisivati proizvoljne datoteke
Opis: problem s obradom putova riješen je poboljšanom logikom.
CVE-2026-20660: Amy (amys.website)
Compression
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2025-43403: Mickey Jin (@patch1t)
CoreAudio
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2026-20611: anonimni istraživač u suradnji s inicijativom Zero Day Initiative (Trend Micro)
CoreMedia
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)
CoreServices
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) (Iru)
CoreServices
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2026-20615: Csaba Fitzl (@theevilbit) (Iru) i Gergely Kalman (@gergely_kalman)
CoreServices
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2025-46283: anonimni istraživač
CoreServices
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je postojao u rukovanju varijablama okruženja. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2026-20627: anonimni istraživač
File Bookmark
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s obradom putova riješen je poboljšanom logikom.
CVE-2025-43417: Ron Elemans
GPU Drivers
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao izazvati neočekivano zatvaranje sustava ili čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2026-20620: Murray Mike
ImageIO
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2025-43338: 이동하 (Lee Dong Ha) (SSA Lab)
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-20634: George Karchemsky (@gkarchemsky) u suradnji s inicijativom Zero Day (Trend Micro)
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne slike moglo bi doći do otkrivanja korisničkih podataka
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2026-20675: George Karchemsky (@gkarchemsky) u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: macOS Sonoma
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef
libexpat
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne datoteke moglo je doći do odbijanja usluge
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2025-59375
libnetcore
Dostupno za: macOS Sonoma
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef
libxpc
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2026-20667: anonimni istraživač
Dostupno za: macOS Sonoma
Učinak: opcija „Učitaj udaljeni sadržaj u poruke” možda se neće isključiti za sve pretpreglede e-pošte
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2026-20673: anonimni istraživač
Messages
Dostupno za: macOS Sonoma
Učinak: prečac bi mogao zaobići ograničenja memorije za testiranje
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem simboličnim vezama.
CVE-2026-20677: Ron Masas iz tvrtke BreakPoint.SH
Model I/O
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2026-20616: Michael DePlante (@izobashi), inicijativa Zero Day Initiative (Trend Micro)
Multi-Touch
Dostupno za: macOS Sonoma
Učinak: zlonamjerni HID uređaj mogao bi uzrokovati neočekivano prekidanje procesa
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2025-43533: Google Threat Analysis Group
CVE-2025-46300: Google Threat Analysis Group
CVE-2025-46301: Google Threat Analysis Group
CVE-2025-46302: Google Threat Analysis Group
CVE-2025-46303: Google Threat Analysis Group
CVE-2025-46304: Google Threat Analysis Group
CVE-2025-46305: Google Threat Analysis Group
PackageKit
Dostupno za: macOS Sonoma
Učinak: napadač s korijenskim ovlastima mogao bi izbrisati zaštićene datoteke sustava
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2025-46310: Mickey Jin (@patch1t)
Remote Management
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2026-20614: Gergely Kalman (@gergely_kalman)
Sandbox
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2026-20628: Noah Gregory (wts.dev)
Security
Dostupno za: macOS Sonoma
Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2025-46290: Bing Shi, Wenchao Li i Xiaolong Bai (Alibaba Group) te Luyi Xing (Indiana University Bloomington)
Shortcuts
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2026-20653: Enis Maholli (enismaholli.com)
Spotlight
Dostupno za: macOS Sonoma
Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti povjerljivim korisničkim podacima
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2026-20680: anonimni istraživač
Spotlight
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem sa zaštitom privatnosti riješen je poboljšanim provjerama.
CVE-2026-20612: Mickey Jin (@patch1t)
StoreKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao
Opis: problem sa zaštitom privatnosti riješen je poboljšanim provjerama.
CVE-2026-20641: Gongyu Ma (@Mezone0)
UIKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2026-20606: LeminLimez
Voice Control
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivani pad procesa u sustavu
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-20605: @cloudlldb of @pixiepointsec
Wi-Fi
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-20621: Wang Yu (Cyberserval)
WindowServer
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2025-43402: @cloudlldb of @pixiepointsec
WindowServer
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2026-20602: @cloudlldb of @pixiepointsec
Dodatna zahvala
CoreServices
Na pomoći zahvaljujemo korisnicima Golden Helm Securities, YingQi Shi (@Mas0nShi) (DBAppSecurity's WeBin), Csaba Fitzl (@theevilbit) (Iru) i Gergelyju Kalmanu (@gergely_kalman).
Kernel
Zahvaljujemo korisniku Xinru Chi iz tima Pangu Lab na pomoći.
libpthread
Na pomoći zahvaljujemo Fabianu Anemoneu.
WindowServer
Na pomoći zahvaljujemo korisniku @cloudlldb (@pixiepointsec).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.