Obsah zabezpečenia v systéme macOS Sequoia 15.7.4

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Sequoia 15.7.4.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

macOS Sequoia 15.7.4

AppleMobileFileIntegrity

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.

CVE-2026-20624: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)

Compression

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43403: Mickey Jin (@patch1t)

CoreAudio

Dostupné pre: macOS Sequoia

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-20611: anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: macOS Sequoia

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

GPU Drivers

Dostupné pre: macOS Sequoia

Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-20620: Murray Mike

ImageIO

Dostupné pre: macOS Sequoia

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20634: George Karchemsky (@gkarchemsky) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: macOS Sequoia

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2026-20675: George Karchemsky (@gkarchemsky) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: macOS Sequoia

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Kernel

Dostupné pre: macOS Sequoia

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-20626: Keisuke Hosoda

libexpat

Dostupné pre: macOS Sequoia

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-59375

libnetcore

Dostupné pre: macOS Sequoia

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libxpc

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20667: anonymný výskumník

Mail

Dostupné pre: macOS Sequoia

Dosah: Vypnutie nastavenia „Načítať vzdialený obsah v správach“ sa nemusí použiť na všetky náhľady pošty

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20673: anonymný výskumník

Multi-Touch

Dostupné pre: macOS Sequoia

Dosah: Zariadenie HID so škodlivým kódom môže spôsobiť neočakávané zlyhanie procesu

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2025-43533: Threat Analysis Group spoločnosti Google

CVE-2025-46300: Threat Analysis Group spoločnosti Google

CVE-2025-46301: Threat Analysis Group spoločnosti Google

CVE-2025-46302: Threat Analysis Group spoločnosti Google

CVE-2025-46303: Threat Analysis Group spoločnosti Google

CVE-2025-46304: Threat Analysis Group spoločnosti Google

CVE-2025-46305: Threat Analysis Group spoločnosti Google

PackageKit

Dostupné pre: macOS Sequoia

Dopad: Útočiaca osoba s oprávneniami koreňového používateľa (root) môže byť schopná mazať chránené systémové súbory

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-46310: Mickey Jin (@patch1t)

Remote Management

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2026-20614: Gergely Kalman (@gergely_kalman)

Sandbox

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-20628: Noah Gregory (wts.dev)

Security

Dostupné pre: macOS Sequoia

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-46290: Bing Shi, Wenchao Li a Xiaolong Bai z tímu Alibaba Group a Luyi Xing z Indiana University v Bloomingtone

Shortcuts

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Siri

Dostupné pre: macOS Sequoia

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20662: Vivek Dhar, ASI (RM) v tíme Border Security Force, FTR HQ BSF Kashmir

Spotlight

Dostupné pre: macOS Sequoia

Dopad: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.

CVE-2026-20680: anonymný výskumník

Spotlight

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému so súkromím, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20612: Mickey Jin (@patch1t)

StoreKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná určiť, aké ďalšie apky má používateľ nainštalované

Popis: Dochádzalo k problému so súkromím, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20641: Gongyu Ma (@Mezone0)

System Settings

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-20619: Asaf Cohen

UIKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2026-20606: LeminLimez

Voice Control

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná neočakávane ukončiť systémový proces

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20605: @cloudlldb z tímu @pixiepointsec

Wi-Fi

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20621: Wang Yu zo spoločnosti Cyberserval

WindowServer

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43402: @cloudlldb z tímu @pixiepointsec

WindowServer

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2026-20602: @cloudlldb z tímu @pixiepointsec

Ďalšie poďakovanie

CoreServices

Poďakovanie za pomoc si zaslúži YingQi Shi (@Mas0nShi) z tímu DBAppSecurity's WeBin lab.

Kernel

Poďakovanie za pomoc si zaslúži Xinru Chi z tímu Pangu Lab.

libpthread

Poďakovanie za pomoc si zaslúži Fabiano Anemone.

WindowServer

Poďakovanie za pomoc si zaslúži @cloudlldb z tímu @pixiepointsec.