macOS Sonoma 14.8.7のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2026年5月11日リリース
対象OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。
CVE-2026-28959:Dave G.氏
対象OS:macOS Sonoma
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2026-28956:impost0r氏(ret2plt)
対象OS:macOS Sonoma
影響:悪意を持って作成されたメディアファイルでオーディオストリームを処理すると、プロセスが終了する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2026-39869:Beryllium SecurityのDavid Ige氏
対象OS:macOS Sonoma
影響:アプリが非公開の情報にアクセスできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2026-28922:Arni Hardarson氏
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2026-28936:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象OS:macOS Sonoma
影響:アプリがルート権限を取得できる可能性がある。
説明:ディレクトリパスの処理における解析不備の脆弱性に、パス検証を強化することで対処しました。
CVE-2026-28915:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2026-43659:Alex Radocea氏
対象OS:macOS Sonoma
影響:悪意のあるアプリがサンドボックスを破って外部で実行される可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2026-28923:Kun Peeks氏(@SwayZGl1tZyyy)
対象OS:macOS Sonoma
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。
CVE-2026-28925:Dave G.氏、Aswin Kumar Gokula Kannan氏
対象OS:macOS Sonoma
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2025-43524:IruのCsaba Fitzl氏(@theevilbit)
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2026-28977:Suresh Sundaram氏
対象OS:macOS Sonoma
影響:悪意を持って作成された画像を処理すると、プロセスメモリが破損する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2026-28990:Jiri Ha氏、Arni Hardarson氏
対象OS:macOS Sonoma
影響:悪意のあるアプリがサンドボックスを破って外部で実行される可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2026-28978:wdszzml氏およびAtuin Automated Vulnerability Discovery Engine
対象OS:macOS Sonoma
影響:攻撃者にアプリを突然終了される可能性がある。
説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2026-28992:Johnny Franks氏(@zeroxjf)
対象OS:macOS Sonoma
影響:アプリがカーネルメモリのレイアウトを判断できる可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2026-28943:Google Threat Analysis Group
対象OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2026-28969:Mihalis Haatainen氏、Ari Hawking氏、Ashish Kunwar氏
対象OS:macOS Sonoma
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2026-43654:Vaagn Vardanian氏、Nathaniel Oh氏(@calysteon)
対象OS:macOS Sonoma
影響:悪意を持って作成されたディスクイメージにGatekeeperのチェックを回避される可能性がある。
説明:チェックを追加し、ファイルの隔離の回避に対処しました。
CVE-2026-28954:Yiğit Can YILMAZ氏(@yilmazcanyigit)
対象OS:macOS Sonoma
影響:ローカルユーザにシステムを突然終了されたり、カーネルメモリを読み取られる可能性がある。
説明:入力検証を強化することで、バッファオーバーフローに対処しました。
CVE-2026-28897:Robert Tran氏、popku1337氏、STAR Labs SG Pte. Ltd.のBilly Jheng Bing Jhong氏とPan ZhenPeng氏(@Peterpan0927)、Aswin kumar Gokulakannan氏
対象OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
CVE-2026-28952:ClaudeおよびAnthropic Researchに協力するCalif.io
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:脆弱なコードを削除することで、サービス運用妨害の脆弱性に対処しました。
CVE-2026-28908:beist氏
対象OS:macOS Sonoma
影響:アプリがルート権限を取得できる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2026-28951:IruのCsaba Fitzl氏(@theevilbit)
対象OS:macOS Sonoma
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2026-28972:STAR Labs SG Pte. Ltd.のBilly Jheng Bing Jhong氏とPan ZhenPeng氏(@Peterpan0927)、Ryan Hileman氏(Xint Code(xint.io)経由で報告)
対象OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2026-28986:Talence SecurityのTristan Madani氏(@TristanInSec)、Ryan Hileman氏(Xint Code(xint.io)経由で報告)、Chris Betz氏
対象OS:macOS Sonoma
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2026-28987:Dhiyanesh Selvaraj氏(@redroot97)
対象OS:macOS Sonoma
影響:ロックダウンモードで、メールに返信するとメールアプリにサーバ上の画像が表示される可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2026-28929:Yiğit Can YILMAZ氏(@yilmazcanyigit)
対象OS:macOS Sonoma
影響:ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2026-43653:Atul R V氏
対象OS:macOS Sonoma
影響:リモートの攻撃者にシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2026-43668:Anton Pakhunov氏、Ricardo Prado氏
対象OS:macOS Sonoma
影響:ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2026-43666:Ian van der Wurff氏(ian.nl)
対象OS:macOS Sonoma
影響:攻撃者がユーザのIPアドレスを悪用して、ユーザをトラッキングできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2026-28906: Ilya Sc. Jowell A.氏
対象OS:macOS Sonoma
影響:アプリがルート権限を取得できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2026-28840:Morris Richman氏(@morrisinlife)、Andrei Dodu氏
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2026-43656:Peter Malone氏
対象OS:macOS Sonoma
影響:悪意を持って作成された画像を処理すると、プロセスメモリが破損する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2026-39870:Peter Malone氏
対象OS:macOS Sonoma
影響:リモート攻撃者にアプリを突然終了される可能性がある。
説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。
CVE-2026-28846:Peter Malone氏
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。
CVE-2026-28993:Doron Assness氏
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2026-28996:Alex Radocea氏
対象OS:macOS Sonoma
影響:アプリがルート権限を取得できる可能性がある。
説明:ステート処理を改善し、整合性欠如の問題に対処しました。
CVE-2026-28919:Amy氏(amys.website)
対象OS:macOS Sonoma
影響:アプリがユーザの承諾なしに連絡先にアクセスできる可能性がある。
説明:シンボリックリンクの処理を改善することで、競合状態の脆弱性に対処しました。
CVE-2026-28924:DBAppSecurity's WeBin labのYingQi Shi氏(@Mas0nShi)、Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象OS:macOS Sonoma
影響:アプリが、保護されていないユーザデータを観察できる可能性がある。
説明:ロジックを改善することで、パスの処理における脆弱性に対処しました。
CVE-2026-39871:匿名の研究者
対象OS:macOS Sonoma
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2026-28819:Wang Yu氏
対象OS:macOS Sonoma
影響:ネットワーク上で特権的な地位を悪用した攻撃者が、細工したWi-Fiパケットを使ってサービス運用妨害を仕掛けてくる可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2026-28994:Alex Radocea氏
対象OS:macOS Sonoma
影響:悪意を持って作成されたWebサイトにアクセスすると、重要なデータが漏洩する可能性がある。
説明:検証を強化することで、情報漏洩に対処しました。
CVE-2026-28920:Google Project ZeroのBrendon Tiszka氏
Ryan Hileman氏(Xint Code(xint.io)経由で報告)のご協力に感謝いたします。