A macOS Sequoia 15.7.7 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sequoia 15.7.7 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sequoia 15.7.7

APFS

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28959: Dave G.

AppleJPEG

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2026-28956: impost0r (ret2plt)

Audio

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat leállását okozta

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-39869: David Ige (Beryllium Security)

CoreMedia

A következőhöz érhető el: macOS Sequoia

Hatás: Egy alkalmazás hozzáférhet személyes információkhoz

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-28922: Arni Hardarson

Crash Reporter

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

CUPS

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28915: Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs)

FileProvider

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-43659: Alex Radocea

GPU Drivers

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok adott esetben ki tudtak törni a sandboxból

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28923: Kun Peeks (@SwayZGl1tZyyy)

HFS

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28925: Dave G., Aswin Kumar Gokula Kannan

Icons

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2025-43524: Csaba Fitzl (@theevilbit, Iru)

ImageIO

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-28977: Suresh Sundaram

ImageIO

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28990: Jiri Ha, Arni Hardarson

Installer

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28978: wdszzml és Atuin Automated Vulnerability Discovery Engine

IOHIDFamily

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória kiosztását.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28943: Google Threat Analysis Group

IOKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

A következőhöz érhető el: macOS Sequoia

Hatás: Egy rosszindulatúan létrehozott lemezkép megkerülheti a Gatekeeper ellenőrzéseit

Leírás: További ellenőrzésekkel elhárítottuk a fájlkarantén megkerülését.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong és Pan Zhenpeng (@Peterpan0927, STAR Labs SG Pte.) Ltd., Aswin kumar Gokulakannan

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2026-28952: Calif.io Claude és Anthropic Research közreműködésével

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: A sebezhető kód eltávolításával elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2026-28908: beist

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28951: Csaba Fitzl (@theevilbit, Iru)

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2026-28972: Billy Jheng Bing Jhong és Pan Zhenpeng (Peterpan0927, STAR Labs SG Pte.) Ltd., Ryan Hileman a Xint Code (xint.io) révén

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28986: Tristan Madani (@TristanInSec, Talence Security), Ryan Hileman a Xint Code révén (xint.io), Chris Betz

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

Mail Drafts

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordulhat, hogy egy e-mailre való válaszadáskor távoli képek jelennek meg Zárt módban a Mailben

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

A következőhöz érhető el: macOS Sequoia

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28940: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Model I/O

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28941: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Networking

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók nyomon tudták követni a felhasználókat az IP-címük alapján.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-28906: Ilya Sc. Jowell A.

PackageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28840: Morris Richman (@morrisinlife), Andrei Dodu

Quick Look

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2026-43656: Peter Malone

SceneKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-39870: Peter Malone

SceneKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28846: Peter Malone

Shortcuts

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2026-28993: Doron Assness

SMB

A következőhöz érhető el: macOS Sequoia

Érintett terület: Távoli támadók bizonyos esetekben váratlan rendszerleállást tudtak előidézni

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28848: Peter Malone, Dave G. és Alex Radocea (Supernetworks)

Spotlight

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Úgy hárítottuk el a problémát, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.

CVE-2026-28974: Andy Koo (@andykoo, Hexens)

Storage

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28996: Alex Radocea

StorageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy konzisztenciával kapcsolatos problémát.

CVE-2026-28919: Amy (amys.website)

Sync Services

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások bizonyos esetekben képesek voltak hozzáférni a kontaktokhoz felhasználói engedély nélkül.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28924: YingQi Shi (@Mas0nShi, DBAppSecurity WeBin lab), Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs)

TV App

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások meg tudták figyelni a védelem nélküli felhasználói adatokat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2026-39871: anonim kutató

Wi-Fi

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-28819: Wang Yu

Wi-Fi

A következőhöz érhető el: macOS Sequoia

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni Wi-Fi-csomagok létrehozásával

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-28994: Alex Radocea

zlib

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

További köszönetnyilvánítás

Kernel

Köszönjük Ryan Hileman segítségét a Xint Code (xint.io) közvetítésével.

Hely

Köszönjük Kun Peeks (@SwayZGl1tZyyy) segítségét.

OpenSSH

Köszönjük Anand Patil segítségét.