Сведения о проблемах системы безопасности, устраняемых обновлением macOS Tahoe 26.2

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Tahoe 26.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

macOS Tahoe 26.2

App Store

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получать доступ к конфиденциальным токенам платежей.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46288: floeki, Zhongcheng Li из отдела IES Red компании ByteDance

AppleJPEG

Целевые продукты: macOS Tahoe

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43523: анонимный исследователь

CVE-2025-43519: анонимный исследователь

AppleMobileFileIntegrity

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с переходом на более раннюю версию, затрагивающая компьютеры Mac на базе Intel, была устранена с помощью дополнительных ограничений на подпись кода.

CVE-2025-43522: анонимный исследователь

AppleMobileFileIntegrity

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с переходом на более раннюю версию, затрагивающая компьютеры Mac на базе Intel, была устранена с помощью дополнительных ограничений на подпись кода.

CVE-2025-43521: анонимный исследователь

AppSandbox

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с логикой устранена путем улучшенной обработки файлов.

CVE-2025-46289: анонимный исследователь

Audio

Целевые продукты: macOS Tahoe

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-43482: Jex Amro, Michael Reeves (@IntegralPilot)

Call History

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2025-43517: Wojciech Regula из SecuRing (wojciechregula.blog)

Calling Framework

Целевые продукты: macOS Tahoe

Воздействие. Злоумышленник может подделывать идентификатор абонента FaceTime.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-46287: анонимный исследователь, Riley Walz

CoreServices

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2025-46283: анонимный исследователь

curl

Целевые продукты: macOS Tahoe

Воздействие. Обнаружен ряд проблем в curl.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Целевые продукты: macOS Tahoe

Воздействие. В полях паролей могут случайно отображаться пароли во время удаленного управления устройствами через FaceTime.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43542: Yiğit Ocak

File Bookmark

Целевые продукты: macOS Tahoe

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-46281: анонимный исследователь

Foundation

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получать несанкционированный доступ к файлам через API проверки правописания.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносных данных может приводить к неожиданному прекращению работы приложения.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки границ.

CVE-2025-43532: Andrew Calvano и Lucas Pinheiro из отдела безопасности продуктов Meta

Game Center

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-46278: Kirin (@Pwnrin) и LFY (@secsys) из Университета Фудань

Icons

Целевые продукты: macOS Tahoe

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Целевые продукты: macOS Tahoe

Воздействие. Приложение может повышать уровень привилегий.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43512: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

Kernel

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема целочисленного переполнения устранена путем внедрения 64-разрядных меток времени.

CVE-2025-46285: Kaitao Xie и Xiaolong Bai из Alibaba Group

LaunchServices

Целевые продукты: macOS Tahoe

Воздействие. Приложение может обойти проверки Gatekeeper.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2025-46291: Kenneth Chew

libarchive

Целевые продукты: macOS Tahoe

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-5918

MDM Configuration Tools

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с правами доступа устранена путем удаления уязвимого кода.

CVE-2025-43513: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

Messages

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема утечки информации устранена путем улучшения контроля конфиденциальности.

CVE-2025-46276: Rosyna Keller из Totally Not Malicious Software

Multi-Touch

Целевые продукты: macOS Tahoe

Воздействие. Вредоносное HID-устройство может вызвать неожиданное завершение процесса.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2025-43533: подразделение Threat Analysis Group компании Google

Networking

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin из лаборатории SecLab в Университете Огайо

Notes

Целевые продукты: macOS Tahoe

Воздействие. Злоумышленник с физическим доступом может просматривать удаленные заметки.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-43410: Atul R V

Photos

Целевые продукты: macOS Tahoe

Воздействие. Фотографии в альбоме «Скрытые» можно просмотреть без аутентификации.

Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.

CVE-2025-43428: анонимный исследователь, Michael Schmutzer из Ингольштадтского технического университета

Safari

Целевые продукты: macOS Tahoe

Воздействие. На компьютере Mac с включенным режимом блокировки веб-содержимое, открытое через URL-адрес файла, может использовать веб-интерфейсы API, доступ к которым должен быть ограничен.

Описание. Проблема устранена путем улучшенной проверки URL-адресов.

CVE-2025-43526: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

Safari Downloads

Целевые продукты: macOS Tahoe

Воздействие. Источник загрузки может быть неверно ассоциирован.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-8906: @retsew0x01

Screen Time

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к истории Safari пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43538: Iván Savransky

Siri

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-43514: Morris Richman (@morrisinlife)

SoftwareUpdate

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43519: анонимный исследователь

StorageKit

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43527: анонимный исследователь

sudo

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Voice Control

Целевые продукты: macOS Tahoe

Воздействие. Пользователь с включенной функцией «Управление голосом» может делать расшифровки действий другого пользователя.

Описание. Проблема с управлением сеансом устранена путем улучшенной проверки.

CVE-2025-43516: Kay Belardinelli (Гарвардский университет)

VoiceOver

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения проверок.

CVE-2025-43530: Mickey Jin (@patch1t)

WebKit

Целевые продукты: macOS Tahoe

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем ввода дополнительных проверок разрешений.

CVE-2025-46282: Wojciech Regula из SecuRing (wojciechregula.blog)

WebKit

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.

CVE-2025-43541: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2025-43501: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2025-43531: Phil Pizlo из Epic Games

WebKit

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-14174.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43529: подразделение Threat Analysis Group компании Google

WebKit

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-43529.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2025-14174: подразделения Threat Analysis Group компаний Apple и Google

WebKit Web Inspector

Целевые продукты: macOS Tahoe

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43511: 이동하 (Lee Dong Ha из BoB 14th)

Дополнительные благодарности

AppleMobileFileIntegrity

Выражаем благодарность за помощь анонимному исследователю.

AppSandbox

Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).

Control Center

Выражаем благодарность за помощь анонимному исследователю.

Core Services

Выражаем благодарность за помощь Golden Helm Securities.

FileVault

Выражаем благодарность за помощь Nathaniel Oh (@calysteon) и Joel Peterson (@sekkyo).

Safari

Выражаем благодарность за помощь Mochammad Nosa Shandy Prastyo.

Sandbox

Выражаем благодарность за помощь Arnaud Abbati.

Voice Control

Выражаем благодарность за помощь PixiePoint Security.

WebKit

Выражаем благодарность за помощь Geva Nurgandi Syahputra (gevakun).