Over de beveiligingsinhoud van macOS Tahoe 26.2

In dit document wordt de beveiligingsinhoud van macOS Tahoe 26.2 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Tahoe 26.2

App Store

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke betalingstokens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-46288: floeki, Zhongcheng Li van IES Red Team van ByteDance

AppleJPEG

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43523: een anonieme onderzoeker

CVE-2025-43519: een anonieme onderzoeker

AppleMobileFileIntegrity

Beschikbaar voor: macOS Tahoe

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een downgradeprobleem op Intel-Mac-computers is verholpen door aanvullende codeondertekeningsbeperkingen.

CVE-2025-43522: een anonieme onderzoeker

AppleMobileFileIntegrity

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een downgradeprobleem op Intel-Mac-computers is verholpen door aanvullende codeondertekeningsbeperkingen.

CVE-2025-43521: een anonieme onderzoeker

AppSandbox

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterd bestandsbeheer.

CVE-2025-46289: een anonieme onderzoeker

Audio

Beschikbaar voor: macOS Tahoe

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43482: Jex Amro, Michael Reeves (@IntegralPilot)

Call History

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2025-43517: Wojciech Regula van SecuRing (wojciechregula.blog)

Calling Framework

Beschikbaar voor: macOS Tahoe

Impact: een aanvaller kan mogelijk het FaceTime-nummer vervalsen

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2025-46287: een anonieme onderzoeker, Riley Walz

CoreServices

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2025-46283: een anonieme onderzoeker

curl

Beschikbaar voor: macOS Tahoe

Impact: meerdere problemen in curl

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Beschikbaar voor: macOS Tahoe

Impact: wachtwoordvelden kunnen onbedoeld worden getoond wanneer een apparaat wordt beheerd op afstand via FaceTime

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-43542: Yiğit Ocak

File Bookmark

Beschikbaar voor: macOS Tahoe

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-46281: een anonieme onderzoeker

Foundation

Beschikbaar voor: macOS Tahoe

Impact: een app kan op ongepaste wijze toegang krijgen tot bestanden via de spellingscontrole-API

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van apps

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde controle van de grenzen.

CVE-2025-43532: Andrew Calvano en Lucas Pinheiro van Meta Product Security

Game Center

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-46278: Kirin (@Pwnrin) en LFY (@secsys) van Fudan University

Icons

Beschikbaar voor: macOS Tahoe

Impact: een app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Beschikbaar voor: macOS Tahoe

Impact: een app kan mogelijk bevoegdheden verhogen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-43512: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

Kernel

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een probleem met overloop van gehele getallen is verholpen door 64-bits tijdstempels te gebruiken.

CVE-2025-46285: Kaitao Xie en Xiaolong Bai van Alibaba Group

LaunchServices

Beschikbaar voor: macOS Tahoe

Impact: een app kan Gatekeeper-controles omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2025-46291: Kenneth Chew

libarchive

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-5918

MDM Configuration Tools

Beschikbaar voor: macOS Tahoe

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een probleem met bevoegdheden is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43513: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

Messages

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met vrijgave van gegevens is verholpen met verbeterde privacyregelaars.

CVE-2025-46276: Rosyna Keller van Totally Not Malicious Software

Multi-Touch

Beschikbaar voor: macOS Tahoe

Impact: een schadelijk HID-apparaat kan een onverwachte procescrash veroorzaken

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.

CVE-2025-43533: Google Threat Analysis Group

Networking

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin van SecLab van The Ohio State University

Notes

Beschikbaar voor: macOS Tahoe

Impact: een aanvaller met fysieke toegang kan mogelijk verwijderde notities bekijken

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43410: Atul R V

Photos

Beschikbaar voor: macOS Tahoe

Impact: foto's in het album 'Verborgen' kunnen mogelijk zonder validatie worden bekeken

Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.

CVE-2025-43428: een anonieme onderzoeker, Michael Schmutzer van de Technische Hochschule Ingolstadt

Safari

Beschikbaar voor: macOS Tahoe

Impact: op een Mac waarop de isolatiemodus is ingeschakeld, kan webmateriaal dat is geopend via een bestands-URL mogelijk gebruikmaken van web-API's die beperkt moeten zijn

Beschrijving: dit probleem is verholpen door middel van verbeterde URL-validatie.

CVE-2025-43526: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

Safari Downloads

Beschikbaar voor: macOS Tahoe

Impact: er is mogelijk een onjuist verband tussen de download en de oorsprong

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-8906: @retsew0x01

Screen Time

Beschikbaar voor: macOS Tahoe

Impact: een kan toegang krijgen tot de Safari-geschiedenis van een gebruiker

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43538: Iván Savransky

Siri

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43514: Morris Richman (@morrisinlife)

SoftwareUpdate

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43519: een anonieme onderzoeker

StorageKit

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43527: een anonieme onderzoeker

sudo

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Voice Control

Beschikbaar voor: macOS Tahoe

Impact: een gebruiker met ingeschakelde stembediening kan mogelijk de activiteiten van een andere gebruiker transcriberen

Beschrijving: een probleem met het beheer van sessies is verholpen door middel van verbeterde controles.

CVE-2025-43516: Kay Belardinelli (Harvard University)

VoiceOver

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2025-43530: Mickey Jin (@patch1t)

WebKit

Beschikbaar voor: macOS Tahoe

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door aanvullende controles op bevoegdheden.

CVE-2025-46282: Wojciech Regula van SecuRing (wojciechregula.blog)

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2025-43541: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

CVE-2025-43501: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een race condition is verholpen door een verbeterde statusverwerking.

CVE-2025-43531: Phil Pizlo van Epic Games

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem bij een uiterst geavanceerde aanval tegen specifiek getargete personen in oudere versies van iOS dan iOS 26. CVE-2025-14174 is ook uitgebracht in reactie op deze melding.

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem bij een uiterst geavanceerde aanval tegen specifiek getargete personen in oudere versies van iOS dan iOS 26. CVE-2025-43529 is ook uitgebracht in reactie op deze melding.

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2025-14174: Apple en Google Threat Analysis Group

WebKit Web Inspector

Beschikbaar voor: macOS Tahoe

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-43511: 이동하 (Lee Dong Ha of BoB 14th)

Aanvullende erkenning

AppleMobileFileIntegrity

Met dank aan een anonieme onderzoeker voor de hulp.

AppSandbox

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Control Center

Met dank aan een anonieme onderzoeker voor de hulp.

Core Services

Met dank aan Golden Helm Securities voor de hulp.

FileVault

Met dank aan Nathaniel Oh (@calysteon) en Joel Peterson (@sekkyo) voor de hulp.

Safari

Met dank aan Mochammad Nosa Shandy Prastyo voor de hulp.

Sandbox

Met dank aan Arnaud Abbati voor de hulp.

Voice Control

Met dank aan PixiePoint Security voor de hulp.

WebKit

Met dank aan Geva Nurgandi Syahputra (gevakun) voor de hulp.