Tietoja macOS Sonoma 14.8.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sonoma 14.8.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sonoma 14.8.5

802.1X

Saatavuus: macOS Sonoma

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)

Accounts

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

apache

Saatavuus: macOS Sonoma

Vaikutus: Apachessa esiintyi useita ongelmia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleKeyStore

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20637: Johnny Franks (zeroxjf), nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28824: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2026-20699: Mickey Jin (@patch1t)

Archive Utility

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-20633: Mickey Jin (@patch1t)

Audio

Saatavuus: macOS Sonoma

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28879: Justin Cohen (Google)

Audio

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28822: Jex Amro

Calling Framework

Saatavuus: macOS Sonoma

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28894: nimetön tutkija

Clipboard

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2026-28866: Cristian Dinca (icmd.tech)

configd

Saatavuus: macOS Sonoma

Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-20639: @cloudlldb (@pixiepointsec)

CoreMedia

Saatavuus: macOS Sonoma

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20690: Hossein Lotfi (@hosselot, TrendAI Zero Day Initiative)

CoreServices

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.

CVE-2026-28821: YingQi Shi (@Mas0nShi, DBAppSecurityn WeBin-laboratorio)

CoreServices

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2026-28838: nimetön tutkija

CoreUtils

Saatavuus: macOS Sonoma

Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)

Crash Reporter

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

CUPS

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28888: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

curl

Saatavuus: macOS Sonoma

Vaikutus: curlin ongelma saattoi aiheuttaa arkaluontoisten tietojen tahattoman lähetyksen väärän yhteyden kautta.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-14524

DeviceLink

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28876: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

Diagnostics

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28892: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)

File System

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28832: DARKNAVY (@DarkNavyOrg)

Focus

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-20668: Kirin (@Pwnrin)

GPU Drivers

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28834: nimetön tutkija

iCloud

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-64505

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97), 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: tietojen paljastumisen ongelma ratkaistiin parantamalla muistin hallintaa.

CVE-2026-20695: Gor Aleksanyan, 이동하 (Lee Dong Ha, BoB 0xB6) yhteistyössä TrendAI Zero Day Initiativen kanssa ja hari shanmugam

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28829: Sreejith Krishnan R

libxpc

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20607: nimetön tutkija

Mail

Saatavuus: macOS Sonoma

Vaikutus: ”Kätke IP-osoite” ja ”Estä kaikki etäsisältö” eivät välttämättä koskeneet kaikkia sähköpostisisältöä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla käyttäjän asetusten käsittelyä.

CVE-2026-20692: Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs) ja Himanshu Bharti (@Xpl0itme, Khatima)

MigrationKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

NetAuth

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28891: nimetön tutkija

NetAuth

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä yhdistämään verkkoresurssiin ilman käyttäjän lupaa.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2026-20701: Matej Moravec (@MacejkoMoravec)

NetAuth

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28839: Mickey Jin (@patch1t)

NetFSFramework

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28827: Csaba Fitzl (@theevilbit, Iru), nimetön tutkija

Notes

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-28816: Dawuge (Shuffle Team, Hunan University)

NSColorPanel

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2026-28826: nimetön tutkija

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä, jolla oli pääkäyttöoikeudet, saattoi pystyä poistamaan suojattuja järjestelmätiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20693: Mickey Jin (@patch1t)

Phone

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)

Printing

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28831: nimetön tutkija

Printing

Saatavuus: macOS Sonoma

Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-28817: Gyujeong Jin (@G1uN4sh, Team.0xb6)

Printing

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-20688: wdszzml ja Atuin Automated Vulnerability Discovery Engine

Security

Saatavuus: macOS Sonoma

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2026-28864: Alex Radocea

Security

Saatavuus: macOS Sonoma

Vaikutus: paikallinen käyttäjä saattoi pystyä muokkaamaan avainnipun tilaa.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28860: Alex Radocea

SMB

Saatavuus: macOS Sonoma

Vaikutus: haitallisen jaetun SMB-verkkoresurssin käyttöönotto saattaa johtaa järjestelmän kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28835: Christian Kohlschütter

SMB

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28825: Sreejith Krishnan R ja Dave G.

Spotlight

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2026-20699: Mickey Jin (@patch1t)

Spotlight

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28818: @pixiepointsec

Spotlight

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20697: @pixiepointsec

TCC

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28828: Mickey Jin (@patch1t)

Vision

Saatavuus: macOS Sonoma

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20657: Andrew Becker

WebDAV

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28829: Sreejith Krishnan R

Kiitokset

Admin Framework

Haluamme kiittää avusta Sota Toyokuraa.

CoreServices

Haluamme kiittää avusta nimimerkkejä Fein, Iccccc ja Ziiiro.

CoreUI

Haluamme kiittää avusta Mustafa Calapia.

CUPS

Haluamme kiittää avusta Csaba Fitzliä (@theevilbit, Iru).

Kernel

Haluamme kiittää avusta Xinru Chitä (Pangu Lab).

Notes

Haluamme kiittää avusta nimimerkkiä Dawuge (Shuffle Team, Hunan University).

ppp

Haluamme kiittää Dave G:tä hänen antamastaan avusta.