A macOS Tahoe 26.3 biztonsági változásjegyzéke

Ez a dokumentum a macOS Tahoe 26.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Tahoe 26.3

Admin Framework

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-20669: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.

CVE-2026-20624: Mickey Jin (@patch1t)

Bluetooth

A következőhöz érhető el: macOS Tahoe

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni létrehozott Bluetooth-csomagok segítségével.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2026-20650: jioundai

CFNetwork

A következőhöz érhető el: macOS Tahoe

Érintett terület: A távoli felhasználók írni tudtak tetszőleges fájlokat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20660: Amy (amys.website)

Contacts

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2026-20681: Kirin (@Pwnrin) és LFY (@secsys), Fudan University

CoreAudio

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20611: anonim kutató a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit), Iru

CoreServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20615: Csaba Fitzl (@theevilbit; Iru) és Gergely Kalman (@gergely_kalman)

CoreServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hiba lépett fel a környezeti változók elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2026-20627: anonim kutató

dyld

A következőhöz érhető el: macOS Tahoe

Érintett terület: A memóriaírási képességgel rendelkező támadók tetszőleges programkódot tudtak futtatni. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-14174 és a CVE-2025-43529 is kiadásra került erre a jelentésre reagálva.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2026-20700: Google Threat Analysis Group

Foundation

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2026-20629: Asaf Cohen

Foundation

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy alkalmazás nyomon követhette a billentyűleütéseket a felhasználó engedélye nélkül.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20601: anonim kutató

Foundation

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2026-20623: anonim kutató

Game Center

A következőhöz érhető el: macOS Tahoe

Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-20649: Asaf Cohen

GPU Drivers

A következőhöz érhető el: macOS Tahoe

Érintett terület: Bizonyos esetekben a támadók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudtak a kernelmemóriában.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2026-20620: Murray Mike

ImageIO

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-20675: George Karchemsky (@gkarchemsky) a Trend Micro Zero Day Initiative közreműködőjeként

ImageIO

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20634: George Karchemsky (@gkarchemsky) a Trend Micro Zero Day Initiative közreműködőjeként

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-20626: Keisuke Hosoda

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20630: anonim kutató

libexpat

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-59375

libxpc

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20667: anonim kutató

Mail

A következőhöz érhető el: macOS Tahoe

Érintett terület: A „Távoli tartalom betöltése az üzenetekben” funkció kikapcsolásakor a művelet nem érvényesült az összes e-mail-előnézet esetén.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20673: anonim kutató

Messages

A következőhöz érhető el: macOS Tahoe

Érintett terület: A parancsikonok bizonyos esetekben meg tudták kerülni a sandbox korlátozásait.

Leírás: Hatékonyabb szimbolikus hivatkozásokkal elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-20677: Ron Masas (BreakPoint.SH)

Model I/O

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott USD-fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-20616: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Notification Center

A következőhöz érhető el: macOS Tahoe

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2026-20603: Kirin (@Pwnrin) és LFY (@secsys), Fudan University

NSOpenPanel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20666: anonim kutató

Remote Management

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20614: Gergely Kalman (@gergely_kalman)

Safari

A következőhöz érhető el: macOS Tahoe

Érintett terület: Bizonyos alkalmazások hozzá tudtak férni a felhasználó Safari-előzményeihez.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20628: Noah Gregory (wts.dev)

Security

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: A veszélynek kitett csomag letiltásával elhárítottunk egy csomagellenőrzési problémát.

CVE-2026-20658: Pwn2car

Setup Assistant

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2026-20610: Gergely Kalman (@gergely_kalman)

Shortcuts

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Siri

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben hozzá tudtak férni az értesítésekhez más iCloud-készülékekről.

Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy védett helyre helyeztük át a bizalmas adatokat.

CVE-2026-20648: Morris Richman (@morrisinlife)

Siri

A következőhöz érhető el: macOS Tahoe

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20662: Vivek Dhar, ASI (RM), Border Security Force, FTR HQ BSF Kashmir

Siri

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2026-20647: Kirin (@Pwnrin)

Spotlight

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2026-20680: anonim kutató

Spotlight

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2026-20612: Mickey Jin (@patch1t)

StoreKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2026-20641: Gongyu Ma (@Mezone0)

System Settings

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-20619: Asaf Cohen

System Settings

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.

CVE-2026-20618: Asaf Cohen

UIKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2026-20606: LeminLimez

Voice Control

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások a rendszerfolyamatok összeomlását idézhették elő.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20605: @cloudlldb of @pixiepointsec

Weather

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulatú appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-20646: Morris Richman (@morrisinlife)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20608: HanQing (TSDubhe) és Nan Wang (@eternalsakura13)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: A webhelyek a Safari webes bővítményein keresztül bizonyos esetekben képesek voltak követni a felhasználót.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20676: Tom Van Goethem

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20644: HanQing (TSDubhe) és Nan Wang (@eternalsakura13)

CVE-2026-20636: EntryHi

CVE-2026-20635: EntryHi

Wi-Fi

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20621: Wang Yu (Cyberserval)

WindowServer

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2026-20602: @cloudlldb (@pixiepointsec)

További köszönetnyilvánítás

Bluetooth

Köszönjük Tommaso Sacchetti segítségét.

CoreServices

Köszönjük YingQi Shi (@Mas0nShi, DBAppSecurity, WeBin lab) segítségét.

CoreTypes

Köszönjük CodeColorist és Pedro Tôrres (@t0rr3sp3dr0) segítségét.

Kernel

Köszönjük Joseph Ravichandran (@0xjprx; MIT CSAIL) és Xinru Chi (Pangu Lab) segítségét.

libpthread

Köszönjük Fabiano Anemone segítségét.

Model I/O

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

NetworkExtension

Köszönjük Gongyu Ma (@Mezone0) segítségét.

Shortcuts

Köszönjük Kun Peeks (@SwayZGl1tZyyy) és Robert Reichel segítségét.

Transparency

Köszönjük Wojciech Regula (SecuRing, wojciechregula.blog) segítségét.

Wallet

Köszönjük Lorenzo Santina (@BigNerd95) és Marco Bartoli (@wsxarcher) segítségét.

WebKit

Köszönjük David Wood, EntryHi, Luigino Camastra (Aisle Research), Stanislav Fort (Aisle Research), Vsevolod Kokorin (Slonser; Solidlab) és Jorian Woltjer segítségét.