macOS Sequoia 15.7.7のセキュリティコンテンツについて

macOS Sequoia 15.7.7のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

macOS Sequoia 15.7.7

APFS

対象OS：macOS Sequoia

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2026-28959：Dave G.氏

AppleJPEG

対象OS：macOS Sequoia

影響：悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。

説明：入力検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2026-28956：impost0r氏（ret2plt）

Audio

対象OS：macOS Sequoia

影響：悪意を持って作成されたメディアファイルでオーディオストリームを処理すると、プロセスが終了する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-39869：Beryllium SecurityのDavid Ige氏

CoreMedia

対象OS：macOS Sequoia

影響：アプリに、非公開の情報にアクセスされる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2026-28922：Arni Hardarson氏

Crash Reporter

対象OS：macOS Sequoia

影響：アプリが、ユーザがインストールしたアプリを特定できる可能性がある。

説明：機微なデータを削除することで、プライバシーの問題に対処しました。

CVE-2026-28878：IES Red TeamのZhongcheng Li氏

CUPS

対象OS：macOS Sequoia

影響：アプリがルート権限を取得できる可能性がある。

説明：ディレクトリパスの処理における解析不備の脆弱性に、パス検証を強化することで対処しました。

CVE-2026-28915：Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏

FileProvider

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2026-43659：Alex Radocea氏

GPU Drivers

対象OS：macOS Sequoia

影響：悪意のあるアプリがサンドボックスを破って外部で実行される可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2026-28923：Kun Peeks氏（@SwayZGl1tZyyy）

HFS

対象OS：macOS Sequoia

影響：アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2026-28925：Dave G.氏、Aswin Kumar Gokula Kannan氏

Icons

対象OS：macOS Sequoia

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。

CVE-2025-43524：IruのCsaba Fitzl氏（@theevilbit）

ImageIO

対象OS：macOS Sequoia

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2026-28977：Suresh Sundaram氏

ImageIO

対象OS：macOS Sequoia

影響：悪意を持って作成された画像を処理すると、プロセスメモリが破損する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-28990：Jiri Ha氏、Arni Hardarson氏

Installer

対象OS：macOS Sequoia

影響：悪意のあるアプリがサンドボックスを破って外部で実行される可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2026-28978：wdszzml氏およびAtuin Automated Vulnerability Discovery Engine

IOHIDFamily

対象OS：macOS Sequoia

影響：攻撃者にアプリを突然終了される可能性がある。

説明：ロック処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2026-28992：Johnny Franks氏（@zeroxjf）

IOHIDFamily

対象OS：macOS Sequoia

影響：アプリがカーネルメモリのレイアウトを判断できる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2026-28943：Google Threat Analysis Group

IOKit

対象OS：macOS Sequoia

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-28969：Mihalis Haatainen氏、Ari Hawking氏、Ashish Kunwar氏

Kernel

対象OS：macOS Sequoia

影響：アプリがカーネルメモリを漏洩させる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-43654：Vaagn Vardanian氏、Nathaniel Oh氏（@calysteon）

Kernel

対象OS：macOS Sequoia

影響：悪意を持って作成されたディスクイメージにGatekeeperのチェックを回避される可能性がある。

説明：チェックを追加し、ファイルの隔離の回避に対処しました。

CVE-2026-28954：Yiğit Can YILMAZ氏（@yilmazcanyigit）

Kernel

対象OS：macOS Sequoia

影響：ローカルユーザにシステムを突然終了されたり、カーネルメモリを読み取られる可能性がある。

説明：入力検証を強化することで、バッファオーバーフローに対処しました。

CVE-2026-28897：Robert Tran氏、popku1337氏、STAR Labs SG Pte. Ltd.のBilly Jheng Bing Jhong氏とPan ZhenPeng氏（@Peterpan0927）、Aswin kumar Gokulakannan氏

Kernel

対象OS：macOS Sequoia

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：入力検証を強化することで、整数オーバーフローに対処しました。

CVE-2026-28952：ClaudeおよびAnthropic Researchに協力するCalif.io

Kernel

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：脆弱なコードを削除することで、サービス運用妨害の脆弱性に対処しました。

CVE-2026-28908：beist氏

Kernel

対象OS：macOS Sequoia

影響：アプリがルート権限を取得できる可能性がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2026-28951：IruのCsaba Fitzl氏（@theevilbit）

Kernel

対象OS：macOS Sequoia

影響：アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。

説明：入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-28972：STAR Labs SG Pte. Ltd.のBilly Jheng Bing Jhong氏とPan ZhenPeng氏（@Peterpan0927）、Ryan Hileman氏（Xint Code（xint.io）経由で報告）

Kernel

対象OS：macOS Sequoia

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2026-28986：Talence SecurityのTristan Madani氏（@TristanInSec）、Ryan Hileman氏（Xint Code（xint.io）経由で報告）、Chris Betz氏

Kernel

対象OS：macOS Sequoia

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2026-28987：Dhiyanesh Selvaraj氏（@redroot97）

Mail Drafts

対象OS：macOS Sequoia

影響：ロックダウンモードで、メールに返信するとメールアプリにサーバ上の画像が表示される可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2026-28929：Yiğit Can YILMAZ氏（@yilmazcanyigit）

mDNSResponder

対象OS：macOS Sequoia

影響：リモートの攻撃者にシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-43668：Ricardo Prado氏、Anton Pakhunov氏

mDNSResponder

対象OS：macOS Sequoia

影響：ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-43666：Ian van der Wurff氏（ian.nl）

Model I/O

対象OS：macOS Sequoia

影響：悪意を持って作成された画像を処理すると、プロセスメモリが破損する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-28940：TrendAI Zero Day InitiativeのMichael DePlante氏（@izobashi）

Model I/O

対象OS：macOS Sequoia

影響：悪意を持って作成された ファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2026-28941：TrendAI Zero Day InitiativeのMichael DePlante氏（@izobashi）

Networking

対象OS：macOS Sequoia

影響：攻撃者がユーザのIPアドレスを悪用して、ユーザをトラッキングできる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2026-28906: Ilya Sc.Jowell A.氏

PackageKit

対象OS：macOS Sequoia

影響：アプリがルート権限を取得できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2026-28840：Morris Richman氏（@morrisinlife）、Andrei Dodu氏

Quick Look

対象OS：macOS Sequoia

影響：悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-43656：Peter Malone氏

SceneKit

対象OS：macOS Sequoia

影響：悪意を持って作成された画像を処理すると、プロセスメモリが破損する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-39870：Peter Malone氏

SceneKit

対象OS：macOS Sequoia

影響：リモート攻撃者にアプリを突然終了される可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2026-28846：Peter Malone氏

Shortcuts

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。

CVE-2026-28993：Doron Assness氏

SMB

対象OS：macOS Sequoia

影響：リモートの攻撃者にシステムを突然終了される可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2026-28848：Peter Malone氏、SupernetworksのDave G.氏およびAlex Radocea氏

Spotlight

対象OS：macOS Sequoia

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：チェックを強化し、不正な処理を防止することで、この問題に対処しました。

CVE-2026-28974：HexensのAndy Koo氏（@andykoo）

Storage

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2026-28996：Alex Radocea氏

StorageKit

対象OS：macOS Sequoia

影響：アプリがルート権限を取得できる可能性がある。

説明：ステート処理を改善し、整合性欠如の問題に対処しました。

CVE-2026-28919：Amy氏（amys.website）

Sync Services

対象OS：macOS Sequoia

影響：アプリがユーザの承諾なしに連絡先にアクセスできる可能性がある。

説明：シンボリックリンクの処理を改善することで、競合状態の脆弱性に対処しました。

CVE-2026-28924：DBAppSecurity's WeBin labのYingQi Shi氏（@Mas0nShi）、Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏

TV App

対象OS：macOS Sequoia

影響：アプリが、保護されていないユーザデータを観察できる可能性がある。

説明：ロジックを改善することで、パスの処理における脆弱性に対処しました。

CVE-2026-39871：匿名の研究者

Wi-Fi

対象OS：macOS Sequoia

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-28819：Wang Yu氏

Wi-Fi

対象OS：macOS Sequoia

影響：ネットワーク上で特権的な地位を悪用した攻撃者が、細工したWi-Fiパケットを使ってサービス運用妨害を仕掛けてくる可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-28994：Alex Radocea氏

zlib

対象OS：macOS Sequoia

影響：悪意を持って作成されたWebサイトにアクセスすると、重要なデータが漏洩する可能性がある。

説明：検証を強化することで、情報漏洩に対処しました。

CVE-2026-28920：Google Project ZeroのBrendon Tiszka氏

ご協力いただいたその他の方々

Kernel

Ryan Hileman氏（Xint Code（xint.io）経由で報告）のご協力に感謝いたします。

Location

Kun Peeks氏（@SwayZGl1tZyyy）のご協力に感謝いたします。

OpenSSH

Anand Patil氏のご協力に感謝いたします。