Despre conținutul de securitate din macOS Sequoia 15.7.7

Acest document descrie conținutul de securitate din macOS Sequoia 15.7.7.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

macOS Sequoia 15.7.7

APFS

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28959: Dave G.

AppleJPEG

Disponibilitate pentru: macOS Sequoia

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2026-28956: impost0r (ret2plt)

Audio

Disponibilitate pentru: macOS Sequoia

Impact: procesarea unui flux audio într-un fișier media creat cu rea intenție poate duce la încetarea procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-39869: David Ige de la Beryllium Security

CoreMedia

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație ar putea accesa informații private

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-28922: Arni Hardarson

Crash Reporter

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.

CVE-2026-28878: Zhongcheng Li de la IES Red Team

CUPS

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2026-28915: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

FileProvider

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2026-43659: Alex Radocea

GPU Drivers

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație rău-intenționată poate evada din sandbox

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28925: Dave G., Aswin Kumar Gokula Kannan

Icons

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2025-43524: Csaba Fitzl (@theevilbit) de la Iru

ImageIO

Disponibilitate pentru: macOS Sequoia

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2026-28977: Suresh Sundaram

ImageIO

Disponibilitate pentru: macOS Sequoia

Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-28990: Jiri Ha, Arni Hardarson

Installer

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație rău-intenționată poate evada din sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2026-28978: wdszzml și Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

Disponibilitate pentru: macOS Sequoia

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate determina aspectul memoriei kernel

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: o imagine de disc creată cu rea intenție poate ocoli verificările Gatekeeper

Descriere: o ocolire a carantinei fișierelor a fost rezolvată prin verificări suplimentare.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: a fost rezolvată o problemă de depășire a memorie tampon alocate prin îmbunătățirea validării intrării.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2026-28952: Calif.io în colaborare cu Claude și Anthropic Research

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de refuz al serviciului a fost remediată prin eliminarea codului vulnerabil.

CVE-2026-28908: beist

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-28951: Csaba Fitzl (@theevilbit) de la Iru

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2026-28972: Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Ryan Hileman prin intermediul Xint Code (xint.io)

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2026-28986: Tristan Madani (@TristanInSec) de la Talence Security, Ryan Hileman prin intermediul Xint Code (xint.io), Chris Betz

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

Disponibilitate pentru: macOS Sequoia

Impact: răspunsul la un e-mail ar putea afișa imagini la distanță în Mail în modul Izolare

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponibilitate pentru: macOS Sequoia

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponibilitate pentru: macOS Sequoia

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponibilitate pentru: macOS Sequoia

Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-28940: Michael DePlante (@izobashi) de la TrendAI Zero Day Initiative

Model I/O

Disponibilitate pentru: macOS Sequoia

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2026-28941: Michael DePlante (@izobashi) de la TrendAI Zero Day Initiative

Networking

Disponibilitate pentru: macOS Sequoia

Impact: un atacator poate urmări utilizatori prin intermediul adreselor lor IP

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-28906: Ilya Sc. Jowell A.

PackageKit

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2026-28840: Morris Richman (@morrisinlife), Andrei Dodu

Quick Look

Disponibilitate pentru: macOS Sequoia

Impact: Analizarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2026-43656: Peter Malone

SceneKit

Disponibilitate pentru: macOS Sequoia

Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-39870: Peter Malone

SceneKit

Disponibilitate pentru: macOS Sequoia

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a aplicației

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28846: Peter Malone

Shortcuts

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.

CVE-2026-28993: Doron Assness

SMB

Disponibilitate pentru: macOS Sequoia

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28848: Peter Malone, Dave G. și Alex Radocea de la Supernetworks

Spotlight

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.

CVE-2026-28974: Andy Koo (@andykoo) de la Hexens

Storage

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2026-28996: Alex Radocea

StorageKit

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: a fost rezolvată o problemă de consecvență prin îmbunătățirea tratării stării.

CVE-2026-28919: Amy (amys.website)

Sync Services

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate să acceseze Contacte fără acordul utilizatorului

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2026-28924: YingQi Shi (@Mas0nShi) de la laboratorul WeBin din cadrul DBAppSecurity, Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

TV App

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate observa date de utilizator neprotejate

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea logicii.

CVE-2026-39871: un cercetător anonim

Wi-Fi

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-28819: Wang Yu

Wi-Fi

Disponibilitate pentru: macOS Sequoia

Impact: un atacator cu o poziție privilegiată în rețea ar putea să lanseze un atac de refuz al serviciului folosind pachete Wi-Fi create

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28994: Alex Radocea

zlib

Disponibilitate pentru: macOS Sequoia

Impact: accesarea unui site web rău intenționat poate cauza scurgeri de date sensibile

Descriere: o scurgere de informații a fost remediată prin validare suplimentare.

CVE-2026-28920: Brendon Tiszka de la Google Project Zero

Alte mențiuni

Kernel

Dorim să îi mulțumim lui Ryan Hileman de la Xint Code (xint.io) pentru asistența acordată.

Localizare

Dorim să îi mulțumim lui Kun Peeks (@SwayZGl1tZyyy) pentru asistența acordată.

OpenSSH

Dorim să îi mulțumim lui Anand Patil pentru asistența acordată.