Om säkerhetsinnehållet i macOS Tahoe 26.2

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Tahoe 26.2.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

macOS Tahoe 26.2

App Store

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan komma åt känslig betalningstoken

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-46288: floeki, Zhongcheng Li från IES Red Team på ByteDance

AppleJPEG

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av en fil kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få åtkomst till känsliga användardata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-43523: En anonym forskare

CVE-2025-43519: En anonym forskare

AppleMobileFileIntegrity

Tillgänglig för: macOS Tahoe

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett nedgraderingsproblem som påverkade Intel-baserade Mac-datorer åtgärdades med ytterligare kodsigneringsbegränsningar.

CVE-2025-43522: En anonym forskare

AppleMobileFileIntegrity

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett nedgraderingsproblem som påverkade Intel-baserade Mac-datorer åtgärdades med ytterligare kodsigneringsbegränsningar.

CVE-2025-43521: En anonym forskare

AppSandbox

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få åtkomst till skyddade användardata

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad filhantering.

CVE-2025-46289: En anonym forskare

Audio

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2025-43482: Jex Amro, Michael Reeves (@IntegralPilot)

Call History

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få åtkomst till skyddade användardata

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2025-43517: Wojciech Regula på SecuRing (wojciechregula.blog)

Calling Framework

Tillgänglig för: macOS Tahoe

Effekt: En angripare kanske kan förfalska sitt uppringar-ID för FaceTime

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2025-46287: En anonym forskare, Riley Walz

CoreServices

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett logikproblem åtgärdades genom förbättrad validering.

CVE-2025-46283: En anonym forskare

curl

Tillgänglig för: macOS Tahoe

Effekt: Flera problem i curl

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Tillgänglig för: macOS Tahoe

Effekt: Lösenordsfält kanske oavsiktligt kan avslöjas när en enhet fjärrstyrs via FaceTime

Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.

CVE-2025-43542: Yiğit Ocak

File Bookmark

Tillgänglig för: macOS Tahoe

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-46281: En anonym forskare

Foundation

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få otillbörlig åtkomst till filer genom API:et för stavningskontroll

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadliga data kanske kan leda till oväntat appavslut

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad kontroll av gränser.

CVE-2025-43532: Andrew Calvano och Lucas Pinheiro på Meta Product Security

Game Center

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få åtkomst till skyddade användardata

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2025-46278: Kirin (@Pwnrin) och LFY (@secsys) vid Fudan University

Icons

Tillgänglig för: macOS Tahoe

Effekt: En app kan kanske identifiera vilka övriga appar som en användare har installerat

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Tillgänglig för: macOS Tahoe

Effekt: En app kan öka behörigheter

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-43512: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

Kernel

Tillgänglig för: macOS Tahoe

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett överskott av heltal åtgärdades genom att införa 64-bitars tidsstämplar.

CVE-2025-46285: Kaitao Xie och Xiaolong Bai på Alibaba Group

LaunchServices

Tillgänglig för: macOS Tahoe

Effekt: En app kan kringgå Gatekeeper-kontroller

Beskrivning: Ett logikproblem åtgärdades genom förbättrad validering.

CVE-2025-46291: Kenneth Chew

libarchive

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av en fil kan leda till minnesfel

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-5918

MDM Configuration Tools

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett behörighetsproblem åtgärdades genom borttagning av den sårbara koden.

CVE-2025-43513: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

Messages

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med avslöjad information åtgärdades genom förbättrade integritetskontroller.

CVE-2025-46276: Rosyna Keller från Totally Not Malicious Software

Multi-Touch

Tillgänglig för: macOS Tahoe

Effekt: En skadlig HID-enhet kanske kan orsaka en oväntad processkrasch

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2025-43533: Google Threat Analysis Group

Networking

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin från SecLab vid The Ohio State University

Notes

Tillgänglig för: macOS Tahoe

Effekt: en angripare med fysisk åtkomst kan kanske visa raderade anteckningar

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2025-43410: Atul R V

Photos

Tillgänglig för: macOS Tahoe

Effekt: Bilder i fotoalbumet Gömda kan visas utan autentisering

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-43428: En anonym forskare, Michael Schmutzer på Technische Hochschule Ingolstadt

Safari

Tillgänglig för: macOS Tahoe

Effekt: På en Mac med låsningsläget aktiverat kanske webbinnehåll öppnat från en fil-URL kan använda webb-API:er som borde vara begränsade

Beskrivning: Problemet åtgärdades genom förbättrad webbadressvalidering.

CVE-2025-43526: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

Safari Downloads

Tillgänglig för: macOS Tahoe

Effekt: En nedladdnings ursprung kan vara felaktigt associerat

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-8906: @retsew0x01

Screen Time

Tillgänglig för: macOS Tahoe

Effekt: En app kan komma åt en användares Safari-historik

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2025-43538: Iván Savransky

Siri

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få åtkomst till skyddade användardata

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2025-43514: Morris Richman (@morrisinlife)

SoftwareUpdate

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få åtkomst till känsliga användardata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-43519: En anonym forskare

StorageKit

Tillgänglig för: macOS Tahoe

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-43527: En anonym forskare

sudo

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få åtkomst till skyddade användardata

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Voice Control

Tillgänglig för: macOS Tahoe

Effekt: En användare med Röststyrning aktiverat kanske kan transkribera en annan användares aktivitet

Beskrivning: Ett problem med sessionshantering åtgärdades med förbättrade kontroller.

CVE-2025-43516: Kay Belardinelli (Harvard University)

VoiceOver

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan få åtkomst till känsliga användardata

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2025-43530: Mickey Jin (@patch1t)

WebKit

Tillgänglig för: macOS Tahoe

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.

CVE-2025-46282: Wojciech Regula på SecuRing (wojciechregula.blog)

WebKit

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2025-43541: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

WebKit

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2025-43501: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

WebKit

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2025-43531: Phil Pizlo på Epic Games

WebKit

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats i ett mycket avancerat angrepp mot specifikt utvalda personer i iOS-versioner före iOS 26. CVE-2025-14174 utfärdades även som svar på den här rapporten.

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel. Apple känner till en rapport om att det här problemet kan ha utnyttjats i ett mycket avancerat angrepp mot specifikt utvalda personer i iOS-versioner före iOS 26. CVE-2025-43529 utfärdades även som svar på den här rapporten.

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2025-14174: Apple och Google Threat Analysis Group

WebKit Web Inspector

Tillgänglig för: macOS Tahoe

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-43511: 이동하 (Lee Dong Ha på BoB 14th)

Ytterligare tack

AppleMobileFileIntegrity

Vi vill tacka en anonym forskare för hjälpen.

AppSandbox

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Control Center

Vi vill tacka en anonym forskare för hjälpen.

Core Services

Vi vill tacka Golden Helm Securities för hjälpen.

FileVault

Vi vill tacka Nathaniel Oh (@calysteon) och Joel Peterson (@sekkyo) för hjälpen.

Safari

Vi vill tacka Mochammad Nosa Shandy Prastyo för hjälpen.

Sandbox

Vi vill tacka Arnaud Abbati för hjälpen.

Voice Control

Vi vill tacka PixiePoint Security för hjälpen.

WebKit

Vi vill tacka Geva Nurgandi Syahputra (gevakun) för hjälpen.