Informazioni sui contenuti di sicurezza di macOS Tahoe 26,2

In questo documento vengono descritti i contenuti di sicurezza di macOS Tahoe 26.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

macOS Tahoe 26.2

App Store

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai token di pagamento sensibili

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-46288: floeki, Zhongcheng Li di IES Red Team di ByteDance

AppleJPEG

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di un file può danneggiare la memoria.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43523: un ricercatore anonimo

CVE-2025-43519: un ricercatore anonimo

AppleMobileFileIntegrity

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di downgrade che riguarda i computer Mac con processore Intel è stato risolto con ulteriori restrizioni di firma del codice.

CVE-2025-43522: un ricercatore anonimo

AppleMobileFileIntegrity

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di downgrade che riguarda i computer Mac con processore Intel è stato risolto con ulteriori restrizioni di firma del codice.

CVE-2025-43521: un ricercatore anonimo

AppSandbox

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2025-46289: un ricercatore anonimo

Audio

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

CVE-2025-43482: Jex Amro, Michael Reeves (@IntegralPilot)

Call History

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2025-43517: Wojciech Regula di SecuRing (wojciechregula.blog)

Calling Framework

Disponibile per: macOS Tahoe

Impatto: un utente malintenzionato potrebbe riuscire a eseguire lo spoofing dell'ID chiamante di FaceTime.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2025-46287: un ricercatore anonimo, Riley Walz

CoreServices

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2025-46283: un ricercatore anonimo

curl

Disponibile per: macOS Tahoe

Impatto: diversi problemi in curl.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Disponibile per: macOS Tahoe

Impatto: i campi delle password potrebbero essere rivelati involontariamente durante il controllo remoto di un dispositivo tramite FaceTime.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-43542: Yiğit Ocak

File Bookmark

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-46281: un ricercatore anonimo

Foundation

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe essere in grado di accedere in modo inappropriato ai file tramite l'API di controllo ortografico.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di dati dannosi può causare la chiusura imprevista dell'app.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore controllo dei limiti.

CVE-2025-43532: Andrew Calvano e Lucas Pinheiro di Meta Product Security

Game Center

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2025-46278: Kirin (@Pwnrin) e LFY (@secsys) della Fudan University

Icons

Disponibile per: macOS Tahoe

Impatto: un'app dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Disponibile per: macOS Tahoe

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-43512: Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs

Kernel

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: è stato risolto un overflow di numeri interi adottando la data e l'ora a 64 bit.

CVE-2025-46285: Kaitao Xie e Xiaolong Bai di Alibaba Group

LaunchServices

Disponibile per: macOS Tahoe

Impatto: un'app può bypassare i controlli di Gatekeeper.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2025-46291: Kenneth Chew

libarchive

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di un file può danneggiare la memoria.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-5918

MDM Configuration Tools

Disponibile per: macOS Tahoe

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile.

CVE-2025-43513: Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs

Messages

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando i controlli della privacy.

CVE-2025-46276: Rosyna Keller di Totally Not Malicious Software

Multi-Touch

Disponibile per: macOS Tahoe

Impatto: un dispositivo HID dannoso può causare un crash imprevisto del processo.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2025-43533: Threat Analysis Group di Google

Networking

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin di SecLab della The Ohio State University

Notes

Disponibile per: macOS Tahoe

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di visualizzare le note eliminate.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2025-43410: Atul R V

Photos

Disponibile per: macOS Tahoe

Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43428: un ricercatore anonimo, Michael Schmutzer di Technische Hochschule Ingolstadt

Safari

Disponibile per: macOS Tahoe

Impatto: su un Mac con la modalità di isolamento abilitata, il contenuto web aperto tramite un URL del file può essere in grado di utilizzare API web il cui accesso dovrebbe essere limitato.

Descrizione: questo problema è stato risolto con una migliore convalida dell'URL.

CVE-2025-43526: Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs

Safari Downloads

Disponibile per: macOS Tahoe

Impatto: l'origine di un download può essere associata in modo errato.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-8906: @retsew0x01

Screen Time

Disponibile per: macOS Tahoe

Impatto: un'app può essere in grado di accedere alla cronologia Safari dell'utente.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2025-43538: Iván Savransky

Siri

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2025-43514: Morris Richman (@morrisinlife)

SoftwareUpdate

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43519: un ricercatore anonimo

StorageKit

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43527: un ricercatore anonimo

sudo

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Voice Control

Disponibile per: macOS Tahoe

Impatto: un utente con il controllo vocale abilitato può essere in grado di trascrivere l'attività di un altro utente.

Descrizione: un problema di gestione delle sessioni è stato risolto con migliori controlli.

CVE-2025-43516: Kay Belardinelli (Harvard University)

VoiceOver

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2025-43530: Mickey Jin (@patch1t)

WebKit

Disponibile per: macOS Tahoe

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2025-46282: Wojciech Regula di SecuRing (wojciechregula.blog)

WebKit

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-43541: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

WebKit

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43501: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

WebKit

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2025-43531: Phil Pizlo di Epic Games

WebKit

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici sulle versioni di iOS precedenti ad iOS 26. CVE-2025-14174 è stato emesso anche in risposta a questo report.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43529: Threat Analysis Group di Google

WebKit

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria. Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici sulle versioni di iOS precedenti ad iOS 26. CVE-2025-43529 è stato emesso anche in risposta a questo report.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2025-14174: Apple e Google Threat Analysis Group

WebKit Web Inspector

Disponibile per: macOS Tahoe

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43511: 이동하 (Lee Dong Ha di BoB 14th)

Altri riconoscimenti

AppleMobileFileIntegrity

Ringraziamo un ricercatore anonimo per l'assistenza.

AppSandbox

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Control Center

Ringraziamo un ricercatore anonimo per l'assistenza.

Core Services

Ringraziamo Golden Helm Securities per l'assistenza.

FileVault

Ringraziamo Nathaniel Oh (@calysteon) e Joel Peterson (@sekkyo) per l'assistenza.

Safari

Ringraziamo Mochammad Nosa Shandy Prastyo per l'assistenza.

Sandbox

Ringraziamo Arnaud Abbati per l'assistenza.

Voice Control

Ringraziamo PixiePoint Security per l'assistenza.

WebKit

Ringraziamo Geva Nurgandi Syahputra (gevakun) per l'assistenza.