A macOS Tahoe 26.4 biztonsági változásjegyzéke

Ez a dokumentum a macOS Tahoe 26.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Tahoe 26.4

802.1X

A következőhöz érhető el: macOS Tahoe

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2026-28865: Héloïse Gollier és Mathy Vanhoef (KU Leuven)

Accounts

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

Admin Framework

A következőhöz érhető el: macOS Tahoe

Érintett terület: A gyökérszintű engedélyekkel rendelkező app képes lehetett védett rendszerfájlok törlésére.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-28823: Ryan Dowd (@_rdowd)

apache

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az Apache több biztonsági rése.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28824: Mickey Jin (@patch1t)

CVE-2026-20696: anonim kutató

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.

CVE-2026-20699: Mickey Jin (@patch1t)

AppleScript

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20684: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.)

Archive Utility

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2026-20633: Mickey Jin (@patch1t)

Archive Utility

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások képesek voltak tetszőleges fájlokhoz hozzáférni

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2026-28910: Talal Haj Bakry és Tommy Mysk (@mysk_co, Mysk Inc.), Zhongquan Li (@Guluisacat)

Audio

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28879: Justin Cohen (Google)

Audio

A következőhöz érhető el: macOS Tahoe

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2026-28822: Jex Amro

Calling Framework

A következőhöz érhető el: macOS Tahoe

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2026-28894: anonim kutató

Clipboard

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat leállását okozta

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20690: Hossein Lotfi (@hosselot, TrendAI Zero Day Initiative)

CoreServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2026-28821: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab)

CoreServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2026-28838: anonim kutató

CoreUtils

A következőhöz érhető el: macOS Tahoe

Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2026-28886: Etienne Charron (Renault) és Victoria Martini (Renault)

Crash Reporter

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

CUPS

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28888: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CUPS

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy a nyomtatási előnézet használatakor átmeneti fájlba lehetett írni a dokumentumot.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2026-28893: Asaf Cohen

curl

A következőhöz érhető el: macOS Tahoe

Érintett terület: A curl egy hibája miatt előfordult, hogy véletlenül nem a megfelelő kapcsolaton kerültek elküldésre a bizalmas adatok

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-14524

DeviceLink

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28876: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

Diagnostics

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2026-28892: 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

File System

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2026-28832: DARKNAVY (@DarkNavyOrg)

GeoServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28870: XiguaSec

GPU Drivers

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28834: anonim kutató

iCloud

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas adatok áthelyezésével megoldottuk az adatvédelmi problémát.

CVE-2026-28881: Ye Zhang (Baidu Security), Ryan Dowd (@_rdowd), Csaba Fitzl (@theevilbit, Iru)

iCloud

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-64505

IOGraphics

A következőhöz érhető el: macOS Tahoe

Érintett terület: A puffertúlcsordulás bizonyos esetekben memóriasérülést és váratlan appleállást eredményezhetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-28842: Joseph Ravichandran (@0xjprx), MIT CSAIL

IOGraphics

A következőhöz érhető el: macOS Tahoe

Érintett terület: A puffertúlcsordulás bizonyos esetekben memóriasérülést és váratlan appleállást eredményezhetett.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28841: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97), 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória kiosztását.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2026-20695: Gor Aleksanyan, 이동하 (Lee Dong Ha, BoB 0xB6) a TrendAI Zero Day Initiative keretében, hari shanmugam

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-20687: Johnny Franks (@zeroxjf)

LaunchServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28845: Yuebin Sun (@yuebinsun2020), egy anonim kutató, Nathaniel Oh (@calysteon), Kirin (@Pwnrin), Wojciech Regula (SecuRing, wojciechregula.blog), Joshua Jewett (@JoshJewett33), egy anonim kutató

libxpc

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

libxpc

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20607: anonim kutató

Mail

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az „IP-cím elrejtése” és az „Összes távoli tartalom blokkolása” funkciók nem voltak az összes levéltartalomra alkalmazhatók.

Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2026-20692: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs), Himanshu Bharti (@Xpl0itme, Khatima)

MigrationKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

Music

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-20632: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

NetAuth

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28839: Mickey Jin (@patch1t)

NetAuth

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy egy app felhasználói hozzájárulás nélkül is csatlakozni tudott egy hálózati megosztáshoz.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2026-20701: Matej Moravec (@MacejkoMoravec)

NetAuth

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28891: anonim kutató

NetFSFramework

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28827: Csaba Fitzl (@theevilbit, Iru), egy anonim kutató

Notes

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-28816: Dawuge (Shuffle Team és Hunan University)

NSColorPanel

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulatú appok adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2026-28826: anonim kutató

PackageKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20631: Gergely Kalman (@gergely_kalman)

PackageKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: A gyökérszintű engedélyekkel rendelkező támadók képesek lehettek védett rendszerfájlok törlésére

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20693: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28840: Andrei Dodu, Morris Richman (@morrisinlife)

Phone

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)

Printing

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28831: anonim kutató

Printing

A következőhöz érhető el: macOS Tahoe

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28817: Gyujeong Jin (@G1uN4sh, Team.0xb6)

Printing

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20688: wdszzml és Atuin Automated Vulnerability Discovery Engine

Security

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a felhasználó kulcskarikán tárolt elemeihez

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2026-28864: Alex Radocea

Security

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28830: anonim kutató

Security

A következőhöz érhető el: macOS Tahoe

Érintett terület: A helyi támadók bizonyos esetekben képesek voltak módosítani a Kulcskarika állapotát

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2026-28860: Alex Radocea

SMB

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy rosszindulatúan szerkesztett SMB-alapú hálózati megosztás csatlakoztatása a rendszer leállásához vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28835: Christian Kohlschütter

SMB

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-28825: Sreejith Krishnan R és Dave G.

Spotlight

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28818: @pixiepointsec

Spotlight

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20697: @pixiepointsec

StorageKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28820: Mickey Jin (@patch1t)

System Settings

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-28837: Luke Roberts (@rookuu)

SystemMigration

A következőhöz érhető el: macOS Tahoe

Érintett terület: A támadók hozzáférést szerezhettek a fájlrendszer védett részeihez

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.

CVE-2026-28844: Pedro Tôrres (@t0rr3sp3dr0)

TCC

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2026-28828: Mickey Jin (@patch1t)

UIFoundation

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.

CVE-2026-28852: Caspian Tarafdar

Vision

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2026-20657: Andrew Becker

WebDAV

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28829: Sreejith Krishnan R

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20665: webb

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy kereszteredet-problémát a Navigation API-ban.

CVE-2026-20643: Thomas Espach

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-28871: @hamayanhamayan

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20664: Yeonghyeon Choi, Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky és Switch3301, Yevhen Pervushyn

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulató webhelyek bizonyos esetekben hozzáférhettek a más eredeteknek szánt szkriptüzenet-kezelőkhöz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2026-28861: Hongze Wu és Shuaike Dong (Ant Group Infrastructure Security Team) és webb

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulató webhelyek bizonyos esetekben korlátozott webes tartalmakat dolgoztak fel a sandboxon kívül

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28859: greenbynox, Arni Hardarson, és anonim kutató

WebKit Sandboxing

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20691: Gongyu Ma (@Mezone0)

További köszönetnyilvánítás

Accessibility

Köszönjük Jacob Prezant (prezant.us) segítségét.

Admin Framework

Köszönjük Sota Toyokura segítségét.

AirPort

Köszönjük Frantisek Piekut, Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii segítségét.

Bluetooth

Köszönjük Hamid Mahmoud segítségét.

Captive Network

Köszönjük Csaba Fitzl (@theevilbit, Iru), Kun Peeks (@SwayZGl1tZyyy) segítségét.

CipherML

Köszönjük Nils Hanff (@nils1729@chaos.social, Hasso Plattner Institute) segítségét.

CloudAttestation

Köszönjük Suresh Sundaram és Willard Jansen segítségét.

Core Bluetooth

Köszönjük Nathaniel Oh (@calysteon) segítségét.

CoreServices

Köszönjük Fein, Iccccc és Ziiiro segítségét.

CoreUI

Köszönjük Peter Malone és Mustafa Calap segítségét.

Disk Images

Köszönjük Jonathan Bar Or (@yo_yo_yo_jbo) segítségét.

Find My

Köszönjük Salemdomain segítségét.

GPU Drivers

Köszönjük Jian Lee (@speedyfriend433) segítségét.

ICU

Köszönjük Jian Lee (@speedyfriend433) segítségét.

ImageKit

Köszönük Lyutoon és YenKoc, Mingxuan Yang (@PPPF00L), Minghao Lin (@Y1nKoc) és 风 (@binary_fmyy, 抽象刷怪笼) segítségét.

Kerberos v5 PAM module

Köszönjük Jian Lee (@speedyfriend433) segítségét.

Kernel

Köszönjük Adam Doupé (ASU SEFCOM), DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville (Fuzzinglabs), Patrick Ventuzelo (Fuzzinglabs), Robert Tran, Suresh Sundaram, Tristan Madani (@TristanInSec, Talence Security), Xinru Chi (Pangu Lab).

libarchive

Köszönjük Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs), valamint Arni Hardarson segítségét.

libc

Köszönjük Vitaly Simonovich (vitalysim.com) segítségét.

Libnotify

Köszönjük Ilias Morad (@A2nkF_) segítségét.

LLVM

Köszönjük Nathaniel Oh (@calysteon) segítségét.

mDNSResponder

Köszönjük William Mather segítségét.

Messages

Köszönjük JZ segítségét.

MobileInstallation

Köszönjük Gongyu Ma (@Mezone0) segítségét.

Music

Köszönjük Mohammad Kaif (@_mkahmad | kaif0x01) segítségét.

Notes

Köszönjük Dawuge (Shuffle Team és Hunan University) segítségét.

NSOpenPanel

Köszönjük Barath Stalin K segítségét.

ppp

Szeretnénk megköszönni Dave G. segítségét.

Quick Look

Köszönjük Wojciech Regula (SecuRing, wojciechregula.blog) és egy anonim kutató segítségét.

Safari

Köszönjük @RenwaX23, Farras Givari, Syarif Muhammad Sajjad és Yair segítségét.

Sandbox

Köszönjük Morris Richman (@morrisinlife), Prashan Samarathunge, 要乐奈 segítségét.

Shortcuts

Köszönjük Waleed Barakat (@WilDN00B) és Paul Montgomery (@nullevent) segítségét.

Siri

Köszönjük Anand Mallaya, Tech consultant, Anand Mallaya and Co., DARKNAVY (@DarkNavyOrg), Harsh Kirdolia, Hrishikesh Parmar (egyéni vállalkozó), HvxyZLF, Ilya Andr (andrd3v), Kun Peeks (@SwayZGl1tZyyy) segítségét.

Spotlight

Köszönjük Bilge Kaan Mızrak, Claude & Friends (Risk Analytics Research Group) és Zack Tickman segítségét.

System Settings

Köszönjük Christian Scalese (www.linkedin.com/in/christian-scalese-5794092aa), Karol Mazurek (@karmaz, AFINE), Raffaele Sabato (SentinelOne) segítségét.

Time Zone

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

UIKit

Köszönjük AEC, Abhay Kailasia (@abhay_kailasia) (Safran Mumbai India), Alex Thomas, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp segítségét.

Wallet

Köszönjük Zhongcheng Li (IES Red Team, ByteDance) segítségét.

Web Extensions

Köszönjük Carlos Jeurissen és Rob Wu (robwu.nl) segítségét.

WebKit

Köszönjük Vamshi Paili segítségét.

Wi-Fi

Köszönjük Kun Peeks (@SwayZGl1tZyyy) és egy anonim kutató segítségét.

Wi-Fi Connectivity

Köszönjük Alex Radocea (Supernetworks, Inc) segítségét.

Widgets

Köszönjük Marcel Voß, Mitul Pranjay és Serok Çelik segítségét.

zsh

Köszönjük Jian Lee (@speedyfriend433) segítségét.