Проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.7.7

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.7.7.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Додаткову інформацію про безпеку див. на сторінці Безпека продуктів Apple.

macOS Sequoia 15.7.7

APFS

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28959: Dave G.

AppleJPEG

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2026-28956: impost0r (ret2plt)

Audio

Цільові продукти: macOS Sequoia

Вплив: обробка аудіопотоку в шкідливому медіафайлі може призводити до переривання процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-39869: David Ige з Beryllium Security

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: програма може отримати доступ до приватної інформації.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2026-28922: Arni Hardarson

Crash Reporter

Цільові продукти: macOS Sequoia

Вплив: програма може перелічувати, скільки програм інсталював користувач.

Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.

CVE-2026-28878: Zhongcheng Li з відділу IES Red

CUPS

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2026-28915: Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs

FileProvider

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2026-43659: Alex Radocea

GPU Drivers

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може виходити за межі ізольованого середовища.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

Цільові продукти: macOS Sequoia

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28925: Dave G., Aswin Kumar Gokula Kannan

Icons

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43524: Csaba Fitzl (@theevilbit) з Iru

ImageIO

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28977: Suresh Sundaram

ImageIO

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого зображення може призводити до пошкодження пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-28990: Jiri Ha, Arni Hardarson

Installer

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може виходити за межі ізольованого середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2026-28978: wdszzml і автоматизована система виявлення вразливостей Atuin

IOHIDFamily

Цільові продукти: macOS Sequoia

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: уразливість, пов’язану з пошкодженням пам’яті, вирішено шляхом поліпшення блокування.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може визначати схему розподілу пам’яті в ядрі.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2026-28943: група аналізу загроз Google

IOKit

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Цільові продукти: macOS Sequoia

Вплив: зловмисний образ диска може обходити перевірки Gatekeeper.

Опис: проблему обходу карантину файлів вирішено завдяки додатковим перевіркам.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Цільові продукти: macOS Sequoia

Вплив: локальний користувач може спричиняти несподіване завершення роботи системи або зчитувати пам’ять ядра.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки вводу.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong і Pan Zhenpeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2026-28952: Calif.io в співпраці з Claude та Anthropic Research

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему відмови в обслуговуванні вирішено завдяки вилученню вразливого коду.

CVE-2026-28908: beist

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2026-28951: Csaba Fitzl (@theevilbit) з Iru

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2026-28972: Billy Jheng Bing Jhong і Pan Zhenpeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd., Ryan Hileman (з використанням Xint Code; xint.io)

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2026-28986: Tristan Madani (@TristanInSec) з Talence Security, Ryan Hileman (з використанням Xint Code; xint.io), Chris Betz

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

Цільові продукти: macOS Sequoia

Вплив: під час відповіді на електронний лист в Пошті могли відображатися віддалені зображення в режимі блокування.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Цільові продукти: macOS Sequoia

Вплив: зловмисник може віддалено спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Цільові продукти: macOS Sequoia

Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого зображення може призводити до пошкодження пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-28940: Michael DePlante (@izobashi), що співпрацює з компанією TrendAI в межах ініціативи «Zero Day Initiative»

Model I/O

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2026-28941: Michael DePlante (@izobashi), що співпрацює з компанією TrendAI в межах ініціативи «Zero Day Initiative»

Networking

Цільові продукти: macOS Sequoia

Вплив: зловмисник може відстежувати користувачів через IP-адреси.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2026-28906: Ilya Sc. Jowell A.

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2026-28840: Morris Richman (@morrisinlife), Andrei Dodu

Quick Look

Цільові продукти: macOS Sequoia

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2026-43656: Peter Malone

SceneKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого зображення може призводити до пошкодження пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-39870: Peter Malone

SceneKit

Цільові продукти: macOS Sequoia

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28846: Peter Malone

Shortcuts

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунено завдяки додаванню додаткового запиту згоди користувача.

CVE-2026-28993: Doron Assness

SMB

Цільові продукти: macOS Sequoia

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи системи.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28848: Peter Malone, Dave G. та Alex Radocea із Supernetworks

Spotlight

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: цю проблему усунено завдяки поліпшенню перевірок для запобігання несанкціонованим діям.

CVE-2026-28974: Andy Koo (@andykoo) з Hexens

Storage

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2026-28996: Alex Radocea

StorageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему узгодженості вирішено за допомогою поліпшення керування станами.

CVE-2026-28919: Amy (amys.website)

Sync Services

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до контактів без дозволу користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування символьними посиланнями.

CVE-2026-28924: YingQi Shi (@Mas0nShi) з лабораторії WeBin компанії DBAppSecurity, Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs

TV App

Цільові продукти: macOS Sequoia

Вплив: за допомогою програми можна переглядати незахищені дані користувачів.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню логіки.

CVE-2026-39871: анонімний дослідник

Wi-Fi

Цільові продукти: macOS Sequoia

Вплив: програма може виконувати довільний код із привілеями ядра

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28819: Wang Yu

Wi-Fi

Цільові продукти: macOS Sequoia

Вплив: зловмисник із привілейованим положенням у мережі може спричинити відмову в обслуговуванні за допомогою власноруч сформованих пакетів Wi-Fi.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-28994: Alex Radocea

zlib

Цільові продукти: macOS Sequoia

Вплив: відвідування шкідливого вебсайту може призвести до витоку конфіденційних даних.

Опис: витік інформації було усунено за допомогою додаткової перевірки.

CVE-2026-28920: Brendon Tiszka з Google Project Zero

Додаткова подяка

Kernel

Дякуємо за допомогу Ryan Hileman і команді розробників Xint Code (xint.io).

Location

Дякуємо за допомогу Kun Peeks (@SwayZGl1tZyyy).

OpenSSH

Дякуємо за допомогу Anand Patil.