Informacije o sigurnosnom sadržaju sustava macOS Sequoia 15.7.7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sequoia 15.7.7.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Sequoia 15.7.7

APFS

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28959: Dave G.

AppleJPEG

Dostupno za: macOS Sequoia

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dostupno za: macOS Sequoia

Učinak: obrada zvučnog streama u zlonamjernoj medijskoj datoteci mogla je prekinuti izvršavanje procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-39869: David Ige (Beryllium Security)

CoreMedia

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti privatnim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-28922: Arni Hardarson

Crash Reporter

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

CUPS

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2026-28915: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

FileProvider

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-43659: Alex Radocea

GPU Drivers

Dostupno za: macOS Sequoia

Učinak: zlonamjerna aplikacija mogla bi izaći izvan ograničene memorije

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28925: Dave G., Aswin Kumar Gokula Kannan

Icons

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2025-43524: Csaba Fitzl (@theevilbit) (Iru)

ImageIO

Dostupno za: macOS Sequoia

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dostupno za: macOS Sequoia

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28990: Jiri Ha, Arni Hardarson

Installer

Dostupno za: macOS Sequoia

Učinak: zlonamjerna aplikacija mogla bi izaći izvan ograničene memorije

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28978: wdszzml i Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

Dostupno za: macOS Sequoia

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla odrediti raspored elemenata kernelske memorije

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Dostupno za: macOS Sequoia

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostupno za: macOS Sequoia

Učinak: zlonamjerno stvorena slika diska mogla bi zaobići provjere alata Gatekeeper

Opis: zaobilaženje stavljanja datoteke u karantenu riješeno je dodatnim provjerama.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Dostupno za: macOS Sequoia

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: prekoračenje međuspremnika riješeno je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd., Aswin kumar Gokulakannan

Kernel

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28952: Calif.io u suradnji s tvrtkama Claude i Anthropic Research

Kernel

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem uskraćivanja usluge riješen je uklanjanjem ranjivog koda.

CVE-2026-28908: beist

Kernel

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28951: Csaba Fitzl (@theevilbit) of Iru

Kernel

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28986: Tristan Madani (@TristanInSec) iz tvrtke Talence Security, Ryan Hileman putem Xint Code (xint.io), Chris Betz

Kernel

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

Dostupno za: macOS Sequoia

Učinak: odgovaranjem na e-mail poruku mogu se prikazati udaljene slike u aplikaciji Mail u modu zaključavanja

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Dostupno za: macOS Sequoia

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Dostupno za: macOS Sequoia

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dostupno za: macOS Sequoia

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28940: Michael DePlante (@izobashi) iz inicijative Zero Day (TrendAI)

Model I/O

Dostupno za: macOS Sequoia

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28941: Michael DePlante (@izobashi) iz inicijative Zero Day (TrendAI)

Networking

Dostupno za: macOS Sequoia

Učinak: napadač bi mogao pratiti korisnike preko njihovih IP adresa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-28906: Ilya Sc. Jowell A.

PackageKit

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28840: Morris Richman (@morrisinlife), Andrei Dodu

Quick Look

Dostupno za: macOS Sequoia

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-43656: Peter Malone

SceneKit

Dostupno za: macOS Sequoia

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-39870: Peter Malone

SceneKit

Dostupno za: macOS Sequoia

Učinak: udaljeni napadač mogao bi uzrokovati neočekivani pad aplikacije

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28846: Peter Malone

Shortcuts

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2026-28993: Doron Assness

SMB

Dostupno za: macOS Sequoia

Učinak: udaljeni napadač mogao bi uzrokovati neočekivani pad sustava

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28848: Peter Malone, Dave G. i Alex Radocea (Supernetworks)

Spotlight

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.

CVE-2026-28974: Andy Koo (@andykoo) (Hexens)

Storage

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28996: Alex Radocea

StorageKit

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s dosljednošću riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28919: Amy (amys.website)

Sync Services

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla pristupiti kontaktima bez korisnikova pristanka

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem simboličnim vezama.

CVE-2026-28924: YingQi Shi (@Mas0nShi) iz laboratorija WeBin tvrtke DBAppSecurity, Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

TV App

Dostupno za: macOS Sequoia

Učinak: aplikacija može vidjeti nezaštićene korisničke podatke

Opis: problem s obradom putova riješen je poboljšanom logikom.

CVE-2026-39871: anonimni istraživač

Wi-Fi

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-28819: Wang Yu

Wi-Fi

Dostupno za: macOS Sequoia

Učinak: napadač na povlaštenom mrežnom položaju možda će moći izvršiti napad uskraćivanja usluge koristeći zlonamjerne Wi-Fi pakete

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28994: Alex Radocea

zlib

Dostupno za: macOS Sequoia

Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Dodatna zahvala

Kernel

Na pomoći zahvaljujemo Ryanu Hilemanu putem Xint Code (xint.io).

Location

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).

OpenSSH

Na pomoći zahvaljujemo Anandu Patilu.