A macOS Sequoia 15.7.5 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sequoia 15.7.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sequoia 15.7.5

802.1X

A következőhöz érhető el: macOS Sequoia

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2026-28865: Héloïse Gollier és Mathy Vanhoef (KU Leuven)

Accounts

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

apache

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az Apache több biztonsági rése

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleKeyStore

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-20637: Johnny Franks (zeroxjf), egy anonim kutató

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28824: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.

CVE-2026-20699: Mickey Jin (@patch1t)

Audio

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28879: Justin Cohen (Google)

Audio

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2026-28822: Jex Amro

Calling Framework

A következőhöz érhető el: macOS Sequoia

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2026-28894: anonim kutató

CFNetwork

A következőhöz érhető el: macOS Sequoia

Érintett terület: A távoli felhasználók írni tudtak tetszőleges fájlokat

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20660: Amy (amys.website)

Clipboard

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2026-28866: Cristian Dinca (icmd.tech)

configd

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2026-20639: @cloudlldb (@pixiepointsec)

CoreMedia

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat leállását okozta

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20690: Hossein Lotfi (@hosselot, TrendAI Zero Day Initiative)

CoreServices

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni

Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2026-28821: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab)

CoreServices

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2026-28838: anonim kutató

CoreUtils

A következőhöz érhető el: macOS Sequoia

Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2026-28886: Etienne Charron (Renault) és Victoria Martini (Renault)

CUPS

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28888: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

curl

A következőhöz érhető el: macOS Sequoia

Érintett terület: A curl egy hibája miatt előfordult, hogy véletlenül nem a megfelelő kapcsolaton kerültek elküldésre a bizalmas adatok

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-14524

DesktopServices

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2026-20633: Mickey Jin (@patch1t)

DeviceLink

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28876: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

Diagnostics

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2026-28892: 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

File System

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2026-28832: DARKNAVY (@DarkNavyOrg)

Focus

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-20668: Kirin (@Pwnrin)

GPU Drivers

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28834: anonim kutató

iCloud

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

ImageIO

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-64505

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97), 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória kiosztását.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2026-20695: Gor Aleksanyan, 이동하 (Lee Dong Ha, BoB 0xB6) a TrendAI Zero Day Initiative keretében, hari shanmugam

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-20687: Johnny Franks (@zeroxjf)

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28829: Sreejith Krishnan R

libxpc

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20607: anonim kutató

Mail

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az „IP-cím elrejtése” és az „Összes távoli tartalom blokkolása” funkciók nem voltak az összes levéltartalomra alkalmazhatók.

Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2026-20692: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs), Himanshu Bharti (@Xpl0itme, Khatima)

mDNSResponder

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Messages

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2026-20651: Chunyu Song (NorthSea)

MigrationKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

NetAuth

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28891: anonim kutató

NetAuth

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy egy app felhasználói hozzájárulás nélkül is csatlakozni tudott egy hálózati megosztáshoz.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2026-20701: Matej Moravec (@MacejkoMoravec)

NetAuth

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28839: Mickey Jin (@patch1t)

NetFSFramework

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28827: Csaba Fitzl (@theevilbit, Iru), egy anonim kutató

Notes

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-28816: Dawuge (Shuffle Team és Hunan University)

NSColorPanel

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2026-28826: anonim kutató

PackageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: A gyökérszintű engedélyekkel rendelkező támadók képesek lehettek védett rendszerfájlok törlésére

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20693: Mickey Jin (@patch1t)

Phone

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)

Printing

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28831: anonim kutató

Printing

A következőhöz érhető el: macOS Sequoia

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28817: Gyujeong Jin (@G1uN4sh, Team.0xb6)

Printing

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20688: wdszzml és Atuin Automated Vulnerability Discovery Engine

Security

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a felhasználó kulcskarikán tárolt elemeihez

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2026-28864: Alex Radocea

Security

A következőhöz érhető el: macOS Sequoia

Érintett terület: A helyi támadók bizonyos esetekben képesek voltak módosítani a Kulcskarika állapotát

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2026-28860: Alex Radocea

SMB

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy rosszindulatúan szerkesztett SMB-alapú hálózati megosztás csatlakoztatása a rendszer leállásához vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28835: Christian Kohlschütter

SMB

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-28825: Sreejith Krishnan R és Dave G.

Spotlight

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.

CVE-2026-20699: Mickey Jin (@patch1t)

Spotlight

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28818: @pixiepointsec

Spotlight

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20697: @pixiepointsec

TCC

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2026-28828: Mickey Jin (@patch1t)

UIFoundation

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.

CVE-2026-28852: Caspian Tarafdar

Vision

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2026-20657: Andrew Becker

WebDAV

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28829: Sreejith Krishnan R

További köszönetnyilvánítás

Admin Framework

Köszönjük Sota Toyokura segítségét.

CoreUI

Köszönjük Mustafa Calap segítségét.

CoreServices

Köszönjük YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab), Fein, Iccccc & Ziiiro segítségét.

IOGPUFamily

Köszönjük Wang Yu (Cyberserval) segítségét.

Kernel

Köszönjük Xinru Chi (Pangu Lab) segítségét.

Notes

Köszönjük Dawuge (Shuffle Team és Hunan University) segítségét.

ppp

Szeretnénk megköszönni Dave G. segítségét.

Shortcuts

Köszönjük Waleed Barakat (@WilDN00B) és Paul Montgomery (@nullevent) segítségét.