A macOS Sequoia 15.7.5 biztonsági változásjegyzéke
Ez a dokumentum a macOS Sequoia 15.7.5 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Sequoia 15.7.5
Kiadás dátuma: 2026. március 24.
802.1X
A következőhöz érhető el: macOS Sequoia
Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2026-28865: Héloïse Gollier és Mathy Vanhoef (KU Leuven)
Accounts
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)
apache
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az Apache több biztonsági rése
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2025-55753
CVE-2025-58098
CVE-2025-59775
CVE-2025-65082
CVE-2025-66200
AppleKeyStore
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2026-20637: Johnny Franks (zeroxjf), egy anonim kutató
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2026-28824: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.
CVE-2026-20699: Mickey Jin (@patch1t)
Audio
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2026-28879: Justin Cohen (Google)
Audio
A következőhöz érhető el: macOS Sequoia
Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2026-28822: Jex Amro
Calling Framework
A következőhöz érhető el: macOS Sequoia
Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2026-28894: anonim kutató
CFNetwork
A következőhöz érhető el: macOS Sequoia
Érintett terület: A távoli felhasználók írni tudtak tetszőleges fájlokat
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.
CVE-2026-20660: Amy (amys.website)
Vágólap
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2026-28866: Cristian Dinca (icmd.tech)
configd
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2026-20639: @cloudlldb (@pixiepointsec)
CoreMedia
A következőhöz érhető el: macOS Sequoia
Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben leállíthatják a folyamatot
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreServices
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni
Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.
CVE-2026-28821: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab)
CoreServices
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.
CVE-2026-28838: anonim kutató
CoreUtils
A következőhöz érhető el: macOS Sequoia
Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2026-28886: Etienne Charron (Renault) és Victoria Martini (Renault)
CUPS
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2026-28888: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)
curl
A következőhöz érhető el: macOS Sequoia
Érintett terület: Hiba állt fenn a curl esetén, amely azt eredményezte, hogy helytelen kapcsolaton keresztül, véletlenül küldtek el bizalmas információkat
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2025-14524
DesktopServices
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2026-20633: Mickey Jin (@patch1t)
DeviceLink
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.
CVE-2026-28876: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)
Diagnostics
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.
CVE-2026-28892: 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)
File System
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2026-28832: DARKNAVY (@DarkNavyOrg)
Focus
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.
CVE-2026-20668: Kirin (@Pwnrin)
GPU Drivers
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2026-28834: anonim kutató
iCloud
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2026-28880: Zhongcheng Li (IES Red Team)
ImageIO
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2025-64505
Kernel
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.
CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)
Kernel
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Kernel
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória kiosztását
Leírás: A hatékonyabb memóriakezeléssel megoldottuk az információmegjelenítési problémát.
CVE-2026-20695: 이동하 (Lee Dong Ha, BoB 0xB6) a TrendAI Zero Day Initiative közreműködőjeként
Kernel
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2026-20687: Johnny Franks (@zeroxjf)
Kernel
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2026-28829: Sreejith Krishnan R
libxpc
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2026-20607: anonim kutató
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az „IP-cím elrejtése” és a „Távoli tartalmak blokkolása” nem feltétlenül lépett érvénybe minden típusú e-mail-tartalomra
Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2026-20692: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)
mDNSResponder
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Messages
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2026-20651: Chunyu Song (NorthSea)
MigrationKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2026-20694: Rodolphe Brunetti (@eisw0lf, Lupus Nova)
NetAuth
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2026-28891: anonim kutató
NetAuth
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordulhat, hogy egy alkalmazás a felhasználó beleegyezése nélkül képes csatlakozni egy hálózati megosztáshoz
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2026-20701: Matej Moravec (@MacejkoMoravec)
NetAuth
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2026-28839: Mickey Jin (@patch1t)
NetFSFramework
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.
CVE-2026-28827: Fitzl Csaba (@theevilbit, Iru), anonim kutató
Notes
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2026-28816: Dawuge (Shuffle Team and Hunan University)
PackageKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: A gyökérszintű engedélyekkel rendelkező támadók képesek lehettek védett rendszerfájlok törlésére
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2026-20693: Mickey Jin (@patch1t)
Phone
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)
Printing
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2026-28831: anonim kutató
Printing
A következőhöz érhető el: macOS Sequoia
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2026-28817: Gyujeong Jin (@G1uN4sh, Team.0xb6)
Printing
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2026-20688: wdszzml és Atuin Automated Vulnerability Discovery Engine
Security
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a felhasználó kulcskarikán tárolt elemeihez
Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.
CVE-2026-28864: Alex Radocea
SMB
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egy rosszindulatúan szerkesztett SMB-alapú hálózati megosztás csatlakoztatása a rendszer leállásához vezethetett
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2026-28835: Christian Kohlschütter
SMB
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2026-28825: Sreejith Krishnan R
Spotlight
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.
CVE-2026-20699: Mickey Jin (@patch1t)
Spotlight
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.
CVE-2026-28818: @pixiepointsec
Spotlight
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2026-20697: @pixiepointsec
TCC
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.
CVE-2026-28828: Mickey Jin (@patch1t)
UIFoundation
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.
CVE-2026-28852: Caspian Tarafdar
Vision
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2026-20657: Andrew Becker
WebDAV
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2026-28829: Sreejith Krishnan R
További köszönetnyilvánítás
Admin Framework
Köszönjük Sota Toyokura segítségét.
CoreServices
Köszönjük YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab), Fein, Iccccc & Ziiiro segítségét.
IOGPUFamily
Köszönjük Wang Yu (Cyberserval) segítségét.
Kernel
Köszönjük Xinru Chi (Pangu Lab) segítségét.
Notes
Köszönjük Dawuge (Shuffle Team and Hunan University) segítségét.
ppp
Szeretnénk megköszönni Dave G. segítségét.
Shortcuts
Köszönjük Waleed Barakat (@WilDN00B) és Paul Montgomery (@nullevent) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.