macOS Sequoia 15.7.5のセキュリティコンテンツについて

macOS Sequoia 15.7.5のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

macOS Sequoia 15.7.5

802.1X

対象OS：macOS Sequoia

影響：ネットワーク上で特権的な地位を悪用した攻撃者が、ネットワークトラフィックを傍受できる可能性がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2026-28865：Héloïse Gollier氏およびMathy Vanhoef氏（KU Leuven）

Accounts

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2026-28877: Totally Not Malicious SoftwareのRosyna Keller氏

apache

対象OS：macOS Sequoia

影響：Apacheに複数の脆弱性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleKeyStore

対象OS：macOS Sequoia

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-20637：Johnny Franks氏（zeroxjf）、匿名の研究者

AppleMobileFileIntegrity

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2026-28824：Mickey Jin氏（@patch1t）

AppleMobileFileIntegrity

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：Intel搭載モデルのMacコンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。

CVE-2026-20699：Mickey Jin氏（@patch1t）

Audio

対象OS：macOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-28879：GoogleのJustin Cohen氏

Audio

対象OS：macOS Sequoia

影響：攻撃者にアプリを突然終了される可能性がある。

説明：メモリ処理を強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2026-28822：Jex Amro氏

Calling Framework

対象OS：macOS Sequoia

影響：リモートの攻撃者からサービス運用妨害を受ける可能性がある。

説明：入力検証を強化し、サービス運用妨害の脆弱性に対処しました。

CVE-2026-28894：匿名の研究者

CFNetwork

対象OS：macOS Sequoia

影響：リモートユーザが任意のファイルを書き込める可能性がある。

説明：ロジックを改善することで、パスの処理における脆弱性に対処しました。

CVE-2026-20660：Amy氏（amys.website）

Clipboard

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2026-28866：Cristian Dinca氏（icmd.tech）

configd

対象OS：macOS Sequoia

影響：悪意を持って作成された文字列を処理すると、ヒープ破損が起きる可能性がある。

説明：入力検証を強化することで、整数オーバーフローに対処しました。

CVE-2026-20639：@pixiepointsecの@cloudlldb氏

CoreMedia

対象OS：macOS Sequoia

影響：悪意を持って作成されたメディアファイルでオーディオストリームを処理すると、プロセスが終了する可能性がある。

説明：配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2026-20690：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

CoreServices

対象OS：macOS Sequoia

影響：アプリに昇格した権限を取得される可能性がある。

説明：エンタイトルメントの確認処理に検証不備の脆弱性がありました。この問題は、プロセスエンタイトルメントの検証を強化することで解決されました。

CVE-2026-28821：DBAppSecurity's WeBin labのYingQi Shi氏（@Mas0nShi）

CoreServices

対象OS：macOS Sequoia

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：サンドボックスの制限を強化し、アクセス権の問題に対処しました。

CVE-2026-28838：匿名の研究者

CoreUtils

対象OS：macOS Sequoia

影響：ネットワーク上で特権的な地位を持つユーザから、サービス運用妨害を受ける可能性がある。

説明：入力検証を強化し、ヌルポインタ逆参照に対処しました。

CVE-2026-28886：Etienne Charron氏（Renault）およびVictoria Martini氏（Renault）

CUPS

対象OS：macOS Sequoia

影響：アプリがルート権限を取得できる可能性がある。

説明：ステート処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2026-28888：Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏

curl

対象OS：macOS Sequoia

影響：curlに脆弱性が存在し、誤った接続を通じて機密情報が意図せず送信される可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2025-14524

DesktopServices

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2026-20633：Mickey Jin氏（@patch1t）

DeviceLink

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ディレクトリパスの処理における解析不備の脆弱性に、パス検証を強化することで対処しました。

CVE-2026-28876：Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏

Diagnostics

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：脆弱なコードを削除することで、アクセス権の問題に対処しました。

CVE-2026-28892：风沐云烟氏（@binary_fmyy）およびMinghao Lin氏（@Y1nKoc）

File System

対象OS：macOS Sequoia

影響：アプリがカーネルメモリを漏洩させる可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2026-28832：DARKNAVY氏（@DarkNavyOrg）

Focus

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2026-20668：Kirin氏（@Pwnrin）

GPU Drivers

対象OS：macOS Sequoia

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：ステート処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2026-28834：匿名の研究者

iCloud

対象OS：macOS Sequoia

影響：アプリが、ユーザがインストールしたアプリを特定できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2026-28880：IES Red TeamのZhongcheng Li氏

ImageIO

対象OS：macOS Sequoia

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2025-64505

Kernel

対象OS：macOS Sequoia

影響：アプリがカーネルメモリを漏洩させる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2026-28868：이동하氏（BoB 0xB6のLee Dong Ha氏）

Kernel

対象OS：macOS Sequoia

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：認証を強化することで、この問題に対処しました。

CVE-2026-28867：Jian Lee氏（@speedyfriend433）

Kernel

対象OS：macOS Sequoia

影響：アプリがカーネルメモリのレイアウトを判断できる可能性がある。

説明：メモリ管理を改善し、情報漏洩の脆弱性に対処しました。

CVE-2026-20695：TrendAI Zero Day Initiativeに協力する이동하氏（BoB 0xB6のLee Dong Ha氏）、hari shanmugam氏

Kernel

対象OS：macOS Sequoia

影響：アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-20687：Johnny Franks氏（@zeroxjf）

Kernel

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2026-28829：Sreejith Krishnan R氏

libxpc

対象OS：macOS Sequoia

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2026-20607：匿名の研究者

Mail

対象OS：macOS Sequoia

影響：メールの内容によっては、「IPアドレスを非表示にする」と「リモートコンテンツをすべてブロック」が適用されない場合がある。

説明：ユーザの環境設定の処理を改善することで、プライバシーの問題に対処しました。

CVE-2026-20692：Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏

mDNSResponder

対象OS：macOS Sequoia

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：認証を強化することで、この問題に対処しました。

CVE-2026-28867：Jian Lee氏（@speedyfriend433）

Messages

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：一時ファイルの処理を改善することで、プライバシーの問題に対処しました。

CVE-2026-20651：NorthSeaのChunyu Song氏

MigrationKit

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2026-20694：Lupus NovaのRodolphe Brunetti氏（@eisw0lf）

NetAuth

対象OS：macOS Sequoia

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2026-28891：匿名の研究者

NetAuth

対象OS：macOS Sequoia

影響：ユーザの承認を得ずに、アプリがネットワーク共有に接続できる可能性がある。

説明：サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。

CVE-2026-20701：Matej Moravec氏（@MacejkoMoravec）

NetAuth

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2026-28839：Mickey Jin氏（@patch1t）

NetFSFramework

対象OS：macOS Sequoia

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：ディレクトリパスの処理における解析不備の脆弱性に、パス検証を強化することで対処しました。

CVE-2026-28827：IruのCsaba Fitzl氏（@theevilbit）、匿名の研究者

Notes

対象OS：macOS Sequoia

影響：アプリが、権限を持っていないファイルを削除できる可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2026-28816：Shuffle Teamおよび湖南大学のDawuge氏

PackageKit

対象OS：macOS Sequoia

影響：ルート権限を持つ攻撃者が、保護されているシステムファイルを削除できる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2026-20693：Mickey Jin氏（@patch1t）

Phone

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2026-28862：Kun Peeks氏（@SwayZGl1tZyyy）

Printing

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2026-28831：匿名の研究者

Printing

対象OS：macOS Sequoia

影響：サンドボックス化されたプロセスが、サンドボックスの制約を回避できる可能性がある。

説明：ステート処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2026-28817：Team.0xb6のGyujeong Jin（@G1uN4sh）氏

Printing

対象OS：macOS Sequoia

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2026-20688：wdszzml氏およびAtuin Automated Vulnerability Discovery Engine

Security

対象OS：macOS Sequoia

影響：ローカルの攻撃者が、ユーザのキーチェーン項目にアクセスできる可能性がある。

説明：この問題は、アクセス権のチェック機能を強化することで解決されました。

CVE-2026-28864：Alex Radocea氏

SMB

対象OS：macOS Sequoia

影響：悪意を持って作成されたSMBネットワーク共有をマウントすると、システムが終了する可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-28835：Christian Kohlschütter氏

SMB

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-28825：Sreejith Krishnan R氏

Spotlight

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：Intel搭載モデルのMacコンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。

CVE-2026-20699：Mickey Jin氏（@patch1t）

Spotlight

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2026-28818：@pixiepointsec氏

Spotlight

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2026-20697：@pixiepointsec氏

TCC

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：脆弱なコードを削除することで、アクセス権の問題に対処しました。

CVE-2026-28828：Mickey Jin氏（@patch1t）

UIFoundation

対象OS：macOS Sequoia

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：入力検証を強化することで、スタックオーバーフローに対処しました。

CVE-2026-28852：Caspian Tarafdar氏

Vision

対象OS：macOS Sequoia

影響：悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-20657：Andrew Becker氏

WebDAV

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2026-28829：Sreejith Krishnan R氏

ご協力いただいたその他の方々

Admin Framework

Sota Toyokura氏のご協力に感謝いたします。

CoreServices

DBAppSecurity's WeBin labのYingQi Shi氏（@Mas0nShi）、Fein、Iccccc、Ziiiro、のご協力に感謝いたします。

IOGPUFamily

CyberservalのWang Yu氏のご協力に感謝いたします。

Kernel

Pangu LabのXinru Chi氏のご協力に感謝いたします。

Notes

Shuffle Teamおよび湖南大学のDawuge氏のご協力に感謝いたします。

ppp

Dave G.氏のご協力に感謝いたします。

Shortcuts

Waleed Barakat氏（@WilDN00B）およびPaul Montgomery氏（@nullevent）のご協力に感謝いたします。