Obsah zabezpečenia v systéme macOS Tahoe 26.2

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Tahoe 26.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

macOS Tahoe 26.2

App Store

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým platobným tokenom

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-46288: floeki, Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance

AppleJPEG

Dostupné pre: macOS Tahoe

Dosah: Spracovanie súboru môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43523: anonymný výskumník

CVE-2025-43519: anonymný výskumník

AppleMobileFileIntegrity

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s prechodom na staršiu verziu, ktorý sa týkal počítačov Mac s procesorom Intel a bol vyriešený ďalšími obmedzeniami podpisovania kódu.

CVE-2025-43522: anonymný výskumník

AppleMobileFileIntegrity

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s prechodom na staršiu verziu, ktorý sa týkal počítačov Mac s procesorom Intel a bol vyriešený ďalšími obmedzeniami podpisovania kódu.

CVE-2025-43521: anonymný výskumník

AppSandbox

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2025-46289: anonymný výskumník

Audio

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-43482: Jex Amro, Michael Reeves (@IntegralPilot)

Call History

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2025-43517: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Calling Framework

Dostupné pre: macOS Tahoe

Dopad: Útočník môže byť schopný falšovať ID volajúceho na FaceTime

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-46287: anonymný výskumník, Riley Walz

CoreServices

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2025-46283: anonymný výskumník

curl

Dostupné pre: macOS Tahoe

Dopad: Viacero problémov v súčasti curl

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Dostupné pre: macOS Tahoe

Dopad: Pri ovládaní zariadenia na diaľku cez FaceTime sa môžu neúmyselne odhaliť polia pre heslo

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-43542: Yiğit Ocak

File Bookmark

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-46281: anonymný výskumník

Foundation

Dostupné pre: macOS Tahoe

Dopad: Apka môže mať neoprávnený prístup k súborom prostredníctvom rozhrania API na kontrolu pravopisu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Dostupné pre: macOS Tahoe

Dopad: Spracovanie škodlivých údajov môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43532: Andrew Calvano a Lucas Pinheiro z tímu Meta Product Security

Game Center

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-46278: Kirin (@Pwnrin) a LFY (@secsys) z Fudan University

Icons

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná určiť, aké ďalšie apky má používateľ nainštalované

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-43512: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

Kernel

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Opis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený prijatím 64-bitových časových značiek.

CVE-2025-46285: Kaitao Xie a Xiaolong Bai z tímu Alibaba Group

LaunchServices

Dostupné pre: macOS Tahoe

Dopad: Apka môže obísť kontroly služby Gatekeeper

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2025-46291: Kenneth Chew

libarchive

Dostupné pre: macOS Tahoe

Dosah: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-5918

MDM Configuration Tools

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Problém s povoleniami bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43513: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

Messages

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém so zverejnením informácií bol vyriešený vylepšením kontroly súkromia.

CVE-2025-46276: Rosyna Keller z tímu Totally Not Malicious Software

Multi-Touch

Dostupné pre: macOS Tahoe

Dosah: Zariadenie HID so škodlivým kódom môže spôsobiť neočakávané zlyhanie procesu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2025-43533: Google Threat Analysis Group

Networking

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin from SecLab z univerzity The Ohio State University

Notes

Dostupné pre: macOS Tahoe

Dosah: Útočník s fyzickým prístupom môže byť schopný zobraziť vymazané poznámky

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-43410: Atul R V

Photos

Dostupné pre: macOS Tahoe

Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez autentifikácie

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43428: anonymný výskumník, Michael Schmutzer z Technickej univerzity v Ingolstadte

Safari

Dostupné pre: macOS Tahoe

Dopad: Na Macu s povoleným režimom blokovania sa môže stať, že webový obsah, ktorý bol otvorený prostredníctvom URL súboru, dokáže používať webové rozhrania API, ktoré by mali byť obmedzené

Opis: Tento problém bol vyriešený vylepšením overovania adries URL.

CVE-2025-43526: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

Safari Downloads

Dostupné pre: macOS Tahoe

Dopad: Zdroj stiahnutého súboru môže byť nesprávne priradený

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-8906: @retsew0x01

Screen Time

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k histórii prehliadača Safari používateľa

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43538: Iván Savransky

Siri

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-43514: Morris Richman (@morrisinlife)

SoftwareUpdate

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43519: anonymný výskumník

StorageKit

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43527: anonymný výskumník

sudo

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Voice Control

Dostupné pre: macOS Tahoe

Dopad: Používateľ s povolenou funkciou hlasového ovládania môže byť schopný prepisovať činnosť iného používateľa

Popis: Dochádzalo k problému súvisiacemu so správou relácií, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-43516: Kay Belardinelli (Harvard University)

VoiceOver

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-43530: Mickey Jin (@patch1t)

WebKit

Dostupné pre: macOS Tahoe

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.

CVE-2025-46282: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

WebKit

Dostupné pre: macOS Tahoe

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-43541: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: macOS Tahoe

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Dostupné pre: macOS Tahoe

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Dostupné pre: macOS Tahoe

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43501: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: macOS Tahoe

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-43531: Phil Pizlo z tímu Epic Games

WebKit

Dostupné pre: macOS Tahoe

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple má informácie o tom, že tento problém mohol byť zneužitý pri mimoriadne sofistikovanom útoku na konkrétne cieľové osoby vo verziách systému iOS starších ako iOS 26. CVE-2025-14174 bol tiež vydaný v reakcii na túto správu.

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Dostupné pre: macOS Tahoe

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte. Spoločnosť Apple má informácie o tom, že tento problém mohol byť zneužitý pri mimoriadne sofistikovanom útoku na konkrétne cieľové osoby vo verziách systému iOS starších ako iOS 26. CVE-2025-43529 bol tiež vydaný v reakcii na túto správu.

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2025-14174: Apple a Google Threat Analysis Group

WebKit Web Inspector

Dostupné pre: macOS Tahoe

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43511: 이동하 (Lee Dong Ha z tímu BoB 14th)

Ďalšie poďakovanie

AppleMobileFileIntegrity

Poďakovanie za pomoc si zaslúži anonymný výskumník.

AppSandbox

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

Control Center

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Core Services

Poďakovanie za pomoc si zaslúži tím Golden Helm Securities.

FileVault

Poďakovanie za pomoc si zaslúžia Nathaniel Oh (@calysteon) a Joel Peterson (@sekkyo).

Safari

Poďakovanie za pomoc si zaslúži Mochammad Nosa Shandy Prastyo.

Sandbox

Poďakovanie za pomoc si zaslúži Arnaud Abbati.

Voice Control

Poďakovanie za pomoc si zaslúži tím PixiePoint Security.

WebKit

Poďakovanie za pomoc si zaslúži Geva Nurgandi Syahputra (gevakun).