Over de beveiligingsinhoud van macOS Tahoe 26.5.2

Deze update bevat oplossingen voor beveiligingsproblemen die voor het eerst beschikbaar waren in de bèta van macOS Tahoe 26.6. In dit document wordt de beveiligingsinhoud van macOS Tahoe 26.5.2 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Tahoe 26.5.2

Releasedatum: 29 juni 2026

IOGPUFamily

Beschikbaar voor: macOS Tahoe

Impact: een app kan mogelijk zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een race condition is verholpen door een verbeterde statusverwerking.

CVE-2026-43743: Lyutoon, Dun

Kernel

Beschikbaar voor: macOS Tahoe

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2026-43724: Hyunwoo Kim (@v4bel)

Kernel

Beschikbaar voor: macOS Tahoe

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2026-43722: Feng Xue en XGPT van ThreatBook, Hyunwoo Kim (@v4bel)

Kernel

Beschikbaar voor: macOS Tahoe

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: dit probleem is verholpen door middel van verbeterde inputvalidatie.

CVE-2026-39868: Vladislav Shevchenko (Positive Technologies), Ye Zhang (@VAR10CK) van Baidu Security, Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.

libxslt

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2026-43706: Tristan Madani (@TristanInSec) van Talence Security

libxslt

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43703: Tristan Madani (@TristanInSec) van Talence Security

Web Extensions

Beschikbaar voor: macOS Tahoe

Impact: een schadelijke webextensie kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 314642

CVE-2026-43704: dr3dd

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: een cross-origin-probleem is verholpen door verbeterde tracking van beveiligingsbronnen.

WebKit Bugzilla: 315368

CVE-2026-43700: Vitaly Simonovich, Christian Meurer Xavier

WebKit

Beschikbaar voor: macOS Tahoe

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 313357

CVE-2026-43735: Merrick Hare, Drinor Selmanaj (Sentry), Khai Tran, John Lussier, Rhyru9, Kwak Kiyong, Song Nuri

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 313693

CVE-2026-43734: Jonathan Alush-Aben

WebKit Bugzilla: 313857

CVE-2026-43726: Josef Korbel (Citadelo), Tristan Madani (@TristanInSec) van Talence Security, Gia Bui (@yabeow) van Calif.io, Narendra Singh (@_3P1C)

WebKit Bugzilla: 314398

CVE-2026-43709

WebKit Bugzilla: 317227

CVE-2026-43699: Tommy DeVoss van Braze Security Team (@thedawgyg)

WebKit Bugzilla: 315161

CVE-2026-43742: Юлия Мерцалова

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

WebKit Bugzilla: 313085

CVE-2026-43732: Nan Wang (@eternalsakura13)

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 314115

CVE-2026-43731: dr3dd

WebKit Bugzilla: 313577

CVE-2026-43715: Milad Nasr en Nicholas Carlini met Claude, Anthropic

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 313691

CVE-2026-43727: Tommy DeVoss van Braze Security Team (@thedawgyg), Gia Bui (@yabeow) van Calif.io, Gurpreet Shergill

WebKit

Beschikbaar voor: macOS Tahoe

Impact: een kwaadaardige website kan mogelijk beperkt webmateriaal buiten de sandbox verwerken

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 312832

CVE-2026-43725: Luke Francis

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 312781

CVE-2026-43663: Soyeon Park, Amy Burnett, Khai Tran, sherkito, Kota Toda, HexRabbit (@h3xr4bb1t) en NiNi (@terrynini38514) van DEVCORE Research Team, Using GLM From Z.AI, Tristan Madani (@TristanInSec) van Talence Security, Brian Carpenter

WebKit Bugzilla: 313528

CVE-2026-39872: Utkarsh Pal, Ignacio Sanmillan (@ulexec)

WebKit Bugzilla: 314235

CVE-2026-43712: Kwak Kiyong, Song Nuri, Tristan Madani (@TristanInSec) van Talence Security

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 315047

CVE-2026-43716: Tuan en Duc van Calif.io, OpenAI Codex Security - Amy Burnett, Evan Lambert

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

WebKit Bugzilla: 317231

CVE-2026-43676: Mateusz Krzywicki (iVerify.io), dr3dd, Tommy DeVoss van Braze Security Team (@thedawgyg)

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 308046

CVE-2026-43740: Nathaniel Oh (@calysteon), Arni Hardarson

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het bezoeken van een website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

WebKit Bugzilla: 314806

CVE-2026-43713: Jody Ritonga

WebKit

Beschikbaar voor: macOS Tahoe

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 315306

CVE-2026-43708: Behzad Najjarpour Jabbari (@_G4ru_)

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

WebKit Bugzilla: 315951

CVE-2026-43707: OpenAI Codex Security - Amy Burnett

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

WebKit Bugzilla: 314528

CVE-2026-43705: dr3dd

WebKit

Beschikbaar voor: macOS Tahoe

Impact: een kwaadaardige website kan mogelijk beperkt webmateriaal buiten de sandbox verwerken

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 315004

CVE-2026-43701: Aaron Grattafiori - NVIDIA AI Red Team

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 315365

CVE-2026-43745: OpenAI Codex Security - Amy Burnett, Khai Tran

WebKit Canvas

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 313175

CVE-2026-43720: Gia Bui (@yabeow) van Calif.io, Josef Korbel

WebKit Storage

Beschikbaar voor: macOS Tahoe

Impact: een kwaadaardige website kan mogelijk ongemerkt klembordgegevens kapen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 313478

CVE-2026-43721: Idan Masas

WebRTC

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

WebKit Bugzilla: 317324

CVE-2026-28979

WebRTC

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.

WebKit Bugzilla: 313350

CVE-2026-43718: Nan Wang (@eternalsakura13)

WebRTC

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 313351

CVE-2026-43717: Nan Wang (@eternalsakura13)

WebKit Bugzilla: 314090

CVE-2026-43746: dr3dd

Aanvullende erkenning

libxslt

Met dank aan Kubilay Berk Alkan voor de hulp.

WebKit

Met dank aan Henock Habte, Souta Sugiyama voor de hulp.

WebKit JavaScript Bindings

Met dank aan Karan Kurani voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: