A macOS Tahoe 26.2 biztonsági változásjegyzéke

Ez a dokumentum a macOS Tahoe 26.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Tahoe 26.2

App Store

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások hozzáférhettek bizalmas fizetési tokenekhez

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-46288: floeki, Zhongcheng Li (IES Red Team, ByteDance)

AppleJPEG

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43523: anonim kutató

CVE-2025-43519: anonim kutató

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.

CVE-2025-43522: anonim kutató

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.

CVE-2025-43521: anonim kutató

AppSandbox

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-46289: anonim kutató

Audio

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-43482: Jex Amro, Michael Reeves (@IntegralPilot)

Call History

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2025-43517: Wojciech Regula (SecuRing, wojciechregula.blog)

Calling Framework

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy támadó képes lehetett meghamisítani a FaceTime hívóazonosítóját

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2025-46287: anonim kutató, Riley Walz

CoreServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2025-46283: anonim kutató

curl

A következőhöz érhető el: macOS Tahoe

Érintett terület: Több hiba is fennállt a curl esetén.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-7264

CVE-2025-9086

FaceTime

A következőhöz érhető el: macOS Tahoe

Érintett terület: A jelszómezők véletlenül láthatóvá válhattak, amikor valaki távolról irányított egy eszközt FaceTime-on keresztül

Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2025-43542: Yiğit Ocak

File Bookmark

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-46281: anonim kutató

Foundation

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy alkalmazás esetleg jogosulatlanul hozzáférhetett fájlokhoz a helyesírás-ellenőrző API-n keresztül

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulatú adatok feldolgozása váratlan alkalmazásleálláshoz vezethetett

Leírás: Hatékonyabb határérték-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2025-43532: Andrew Calvano és Lucas Pinheiro (Meta Product Security)

Game Center

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-46278: Kirin (@Pwnrin) és LFY (@secsys) (Fudan University)

Icons

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43512: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Kiküszöböltünk egy egészszám-túlcsordulást 64 bites időbélyegek használatával.

CVE-2025-46285: Kaitao Xie és Xiaolong Bai (Alibaba Group)

LaunchServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2025-46291: Kenneth Chew

libarchive

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-5918

MDM Configuration Tools

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2025-43513: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

Messages

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az adatvédelmi ellenőrzések fejlesztésével megoldottuk az információmegjelenítési problémát.

CVE-2025-46276: Rosyna Keller (Totally Not Malicious Software)

Multi-Touch

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy rosszindulatú HID-eszköz váratlan folyamatösszeomlást okozhatott

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2025-43533: Google Threat Analysis Group

Networking

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin (SecLab, The Ohio State University)

Notes

A következőhöz érhető el: macOS Tahoe

Érintett terület: A fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a törölt jegyzeteket.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43410: Atul R V

Photos

A következőhöz érhető el: macOS Tahoe

Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2025-43428: anonim kutató, Michael Schmutzer of Technische Hochschule Ingolstadt

Safari

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy Macen, ha a Zárt mód engedélyezve volt, egy fájlra mutató URL-en keresztül megnyitott webes tartalom képes lehetett olyan Web API-k használatára, amelyeknek korlátozottnak kellett volna lenniük

Leírás: Az URL-ek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2025-43526: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

Safari Downloads

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-8906: @retsew0x01

Screen Time

A következőhöz érhető el: macOS Tahoe

Érintett terület: Bizonyos alkalmazások hozzá tudtak férni a felhasználó Safari-előzményeihez.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43538: Iván Savransky

Siri

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43514: Morris Richman (@morrisinlife)

SoftwareUpdate

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43519: anonim kutató

StorageKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43527: anonim kutató

sudo

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Voice Control

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy a Hangvezérlést használó felhasználó képes lehetett átiratot készíteni egy másik felhasználó tevékenységéről

Leírás: Hatékonyabb ellenőrzésekkel hárítottunk el egy munkamenet-kezelési problémát.

CVE-2025-43516: Kay Belardinelli (Harvard University)

VoiceOver

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43530: Mickey Jin (@patch1t)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2025-46282: Wojciech Regula (SecuRing, wojciechregula.blog)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-43541: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2025-43501: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2025-43531: Phil Pizlo (Epic Games)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-14174 is kiadásra került erre a jelentésre reagálva.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43529: Google Threat Analysis Group

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-43529 is kiadásra került erre a jelentésre reagálva.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2025-14174: Apple és Google Threat Analysis Group

WebKit Web Inspector

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43511: 이동하 (Lee Dong Ha, BoB 14th)

További köszönetnyilvánítás

AppleMobileFileIntegrity

Köszönjük egy anonim kutató segítségét.

AppSandbox

Köszönjük Mickey Jin (@patch1t) segítségét.

Control Center

Köszönjük egy anonim kutató segítségét.

Core Services

Köszönjük a Golden Helm Securities segítségét.

FileVault

Köszönjük Nathaniel Oh (@calysteon) és Joel Peterson (@sekkyo) segítségét.

Safari

Köszönjük Mochammad Nosa Shandy Prastyo segítségét.

Sandbox

Köszönjük Arnaud Abbati segítségét.

Voice Control

Köszönjük a PixiePoint Security segítségét.

WebKit

Köszönjük Geva Nurgandi Syahputra (gevakun) segítségét.