Obsah zabezpečenia v systéme macOS Sequoia 15.7.7

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Sequoia 15.7.7.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

macOS Sequoia 15.7.7

APFS

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28959: Dave G.

AppleJPEG

Dostupné pre: macOS Sequoia

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dostupné pre: macOS Sequoia

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže ukončiť proces

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-39869: David Ige z tímu Beryllium Security

CoreMedia

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-28922: Arni Hardarson

Crash Reporter

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Opis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2026-28878: Zhongcheng Li z tímu IES Red Team

CUPS

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2026-28915: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

FileProvider

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-43659: Alex Radocea

GPU Drivers

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28925: Dave G., Aswin Kumar Gokula Kannan

Icons

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Opis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.

CVE-2025-43524: Csaba Fitzl (@theevilbit) z tímu Iru

ImageIO

Dostupné pre: macOS Sequoia

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dostupné pre: macOS Sequoia

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28990: Jiri Ha, Arni Hardarson

Installer

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28978: wdszzml a Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

Dostupné pre: macOS Sequoia

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostupné pre: macOS Sequoia

Dopad: Obraz disku so škodlivým kódom môže obísť kontroly funkcie Gatekeeper

Popis: Problém s obchádzaním karantény súborov bol vyriešený pridaním kontrol.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Dostupné pre: macOS Sequoia

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28952: Calif.io v spolupráci s tímom Claude and Anthropic Research

Kernel

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Problém s odmietnutím služby bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2026-28908: beist

Kernel

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28951: Csaba Fitzl (@theevilbit) z tímu Iru

Kernel

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd., Ryan Hileman prostredníctvom Xint Code (xint.io)

Kernel

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28986: Tristan Madani (@TristanInSec) z tímu Talence Security, Ryan Hileman prostredníctvom Xint Code (xint.io), Chris Betz

Kernel

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

Dostupné pre: macOS Sequoia

Dosah: Odpovedanie na e-mail mohlo v režime blokovania v apke Mail zobraziť vzdialené obrázky

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Dostupné pre: macOS Sequoia

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Dostupné pre: macOS Sequoia

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dostupné pre: macOS Sequoia

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28940: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti TrendAI

Model I/O

Dostupné pre: macOS Sequoia

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28941: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti TrendAI

Networking

Dostupné pre: macOS Sequoia

Dosah: Útočník môže byť schopný sledovať používateľov prostredníctvom ich IP adresy

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-28906: Ilya Sc. Jowell A.

PackageKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28840: Morris Richman (@morrisinlife), Andrei Dodu

Quick Look

Dostupné pre: macOS Sequoia

Dosah: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-43656: Peter Malone

SceneKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-39870: Peter Malone

SceneKit

Dostupné pre: macOS Sequoia

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28846: Peter Malone

Shortcuts

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2026-28993: Doron Assness

SMB

Dostupné pre: macOS Sequoia

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28848: Peter Malone, Dave G. a Alex Radocea z tímu Supernetworks

Spotlight

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2026-28974: Andy Koo (@andykoo) z tímu Hexens

Storage

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28996: Alex Radocea

StorageKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s konzistentnosťou, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2026-28919: Amy (amys.website)

Sync Services

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup ku kontaktom bez súhlasu používateľa

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2026-28924: YingQi Shi (@Mas0nShi) z laboratória WeBin spoločnosti DBAppSecurity, Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

TV App

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná sledovať nechránené používateľské dáta

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením logiky.

CVE-2026-39871: anonymný výskumník

Wi-Fi

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28819: Wang Yu

Wi-Fi

Dostupné pre: macOS Sequoia

Dopad: Útočník s oprávneniami v sieti môže byť schopný vykonať útok zameraný na odmietnutie služby pomocou upravených paketov Wi-Fi

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28994: Alex Radocea

zlib

Dostupné pre: macOS Sequoia

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých dát

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28920: Brendon Tiszka z tímu Google Project Zero

Ďalšie poďakovanie

Kernel

Poďakovanie za pomoc si zaslúži Ryan Hileman prostredníctvom Xint Code (xint.io).

Location

Poďakovanie za pomoc si zaslúži Kun Peeks (@SwayZGl1tZyyy).

OpenSSH

Poďakovanie za pomoc si zaslúži Anand Patil.