A macOS Tahoe 26.4 biztonsági változásjegyzéke

Ez a dokumentum a macOS Tahoe 26.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Tahoe 26.4

802.1X

A következőhöz érhető el: macOS Tahoe

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2026-28865: Héloïse Gollier és Mathy Vanhoef (KU Leuven)

Accounts

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

Admin Framework

A következőhöz érhető el: macOS Tahoe

Érintett terület: A gyökérszintű engedélyekkel rendelkező app képes lehetett védett rendszerfájlok törlésére.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-28823: Ryan Dowd (@_rdowd)

apache

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az Apache több biztonsági rése.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28824: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.

CVE-2026-20699: Mickey Jin (@patch1t)

AppleScript

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20684: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.)

Archive Utility

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2026-20633: Mickey Jin (@patch1t)

Audio

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28879: Justin Cohen, Google

Audio

A következőhöz érhető el: macOS Tahoe

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2026-28822: Jex Amro

Calling Framework

A következőhöz érhető el: macOS Tahoe

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2026-28894: anonim kutató

Clipboard

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat megszakadását eredményezhette.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2026-28821: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab)

CoreServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2026-28838: anonim kutató

CoreUtils

A következőhöz érhető el: macOS Tahoe

Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2026-28886: Etienne Charron (Renault) és Victoria Martini (Renault)

Crash Reporter

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

CUPS

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28888: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CUPS

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy a nyomtatási előnézet használatakor átmeneti fájlba lehetett írni a dokumentumot.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2026-28893: Asaf Cohen

curl

A következőhöz érhető el: macOS Tahoe

Érintett terület: Jelen volt egy probléma a curlben, amelynek hatására előfordulhatott, hogy a felhasználó véletlenül bizalmas információkat továbbított egy helytelen kapcsolaton.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-14524

DeviceLink

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28876: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

Diagnostics

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2026-28892: 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

File System

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2026-28832: DARKNAVY (@DarkNavyOrg)

GeoServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28870: XiguaSec

GPU Drivers

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28834: anonim kutató

iCloud

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas adatok áthelyezésével megoldottuk az adatvédelmi problémát.

CVE-2026-28881: Ye Zhang (Baidu Security), Ryan Dowd (@_rdowd), Csaba Fitzl (@theevilbit, Iru)

iCloud

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-64505

IOGraphics

A következőhöz érhető el: macOS Tahoe

Érintett terület: A puffertúlcsordulás bizonyos esetekben memóriasérülést és váratlan appleállást eredményezhetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-28842: Joseph Ravichandran (@0xjprx), MIT CSAIL

IOGraphics

A következőhöz érhető el: macOS Tahoe

Érintett terület: A puffertúlcsordulás bizonyos esetekben memóriasérülést és váratlan appleállást eredményezhetett.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28841: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória kiosztását.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2026-20695: 이동하 (Lee Dong Ha, BoB 0xB6) a TrendAI Zero Day Initiative keretében, hari shanmugam

Kernel

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-20687: Johnny Franks (@zeroxjf)

LaunchServices

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28845: Yuebin Sun (@yuebinsun2020), egy anonim kutató, Nathaniel Oh (@calysteon), Kirin (@Pwnrin), Wojciech Regula (SecuRing, wojciechregula.blog), Joshua Jewett (@JoshJewett33), egy anonim kutató

libxpc

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28882: Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

libxpc

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20607: anonim kutató

Mail

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az „IP-cím elrejtése” és az „Összes távoli tartalom blokkolása” funkciók nem voltak az összes levéltartalomra alkalmazhatók.

Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2026-20692: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

MigrationKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

Music

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-20632: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

NetAuth

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28839: Mickey Jin (@patch1t)

NetAuth

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy egy app felhasználói hozzájárulás nélkül is csatlakozni tudott egy hálózati megosztáshoz.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2026-20701: Matej Moravec (@MacejkoMoravec)

NetAuth

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28891: anonim kutató

NetFSFramework

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28827: Csaba Fitzl (@theevilbit, Iru), egy anonim kutató

Notes

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-28816: Dawuge (Shuffle Team és Hunan University)

NSColorPanel

A következőhöz érhető el: macOS Tahoe

Érintett terület: A rosszindulatú appok adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2026-28826: anonim kutató

PackageKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20631: Gergely Kalman (@gergely_kalman)

PackageKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: A gyökérszintű engedélyekkel rendelkező támadók képesek lehettek védett rendszerfájlok törlésére

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20693: Mickey Jin (@patch1t)

Phone

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)

Printing

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28831: anonim kutató

Printing

A következőhöz érhető el: macOS Tahoe

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-28817: Gyujeong Jin (@G1uN4sh, Team.0xb6)

Printing

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20688: wdszzml és Atuin Automated Vulnerability Discovery Engine

Security

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a felhasználó kulcskarikán tárolt elemeihez

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2026-28864: Alex Radocea

SMB

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy rosszindulatúan szerkesztett SMB-alapú hálózati megosztás csatlakoztatása a rendszer leállásához vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28835: Christian Kohlschütter

SMB

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-28825: Sreejith Krishnan R

Spotlight

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28818: @pixiepointsec

Spotlight

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20697: @pixiepointsec

StorageKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28820: Mickey Jin (@patch1t)

System Settings

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-28837: Luke Roberts (@rookuu)

SystemMigration

A következőhöz érhető el: macOS Tahoe

Érintett terület: A támadók hozzáférést szerezhettek a fájlrendszer védett részeihez

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.

CVE-2026-28844: Pedro Tôrres (@t0rr3sp3dr0)

TCC

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2026-28828: Mickey Jin (@patch1t)

UIFoundation

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.

CVE-2026-28852: Caspian Tarafdar

WebDAV

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28829: Sreejith Krishnan R

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20665: webb

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy kereszteredet-problémát a Navigation API-ban.

CVE-2026-20643: Thomas Espach

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-28871: @hamayanhamayan

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy rosszindulatú webhely bizonyos esetekben hozzá tudott férni a más forrásokhoz szánt szkriptüzenet-kezelőkhöz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2026-28861: Hongze Wu és Shuaike Dong (Ant Group Infrastructure Security Team)

WebKit

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy rosszindulatú webhely bizonyos esetekben korlátozott webes tartalmakat is fel tudott dolgozni a sandboxon kívül.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

A következőhöz érhető el: macOS Tahoe

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20691: Gongyu Ma (@Mezone0)

További köszönetnyilvánítás

Accessibility

Köszönjük Jacob Prezant (prezant.us) segítségét.

Admin Framework

Köszönjük Sota Toyokura segítségét.

AirPort

Köszönjük Frantisek Piekut, Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii segítségét.

Bluetooth

Köszönjük Hamid Mahmoud segítségét.

Captive Network

Köszönjük Csaba Fitzl (@theevilbit, Iru), Kun Peeks (@SwayZGl1tZyyy) segítségét.

CipherML

Köszönjük Nils Hanff (@nils1729@chaos.social, Hasso Plattner Institute) segítségét.

CloudAttestation

Köszönjük Suresh Sundaram, Willard Jansen segítségét.

Core Bluetooth

Köszönjük Nathaniel Oh (@calysteon) segítségét.

CoreServices

Köszönjük Fein, Iccccc és Ziiiro segítségét.

CoreUI

Köszönjük Peter Malone segítségét.

Disk Images

Köszönjük Jonathan Bar Or (@yo_yo_yo_jbo) segítségét.

Find My

Köszönjük Salemdomain segítségét.

GPU Drivers

Köszönjük Jian Lee (@speedyfriend433) segítségét.

ICU

Köszönjük Jian Lee (@speedyfriend433) segítségét.

ImageKit

Köszönük Lyutoon és YenKoc, Mingxuan Yang (@PPPF00L), Minghao Lin (@Y1nKoc) és 风 (@binary_fmyy, 抽象刷怪笼) segítségét.

Kerberos v5 PAM module

Köszönjük Jian Lee (@speedyfriend433) segítségét.

Kernel

Köszönjük DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville From Fuzzinglabs, Patrick Ventuzelo (Fuzzinglabs), Robert Tran, Suresh Sundaram, Xinru Chi (Pangu Lab) segítségét.

libarchive

Köszönjük Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs), Arni Hardarson segítségét.

libc

Köszönjük Vitaly Simonovich segítségét.

Libnotify

Köszönjük Ilias Morad (@A2nkF_) segítségét.

LLVM

Köszönjük Nathaniel Oh (@calysteon) segítségét.

mDNSResponder

Köszönjük William Mather segítségét.

Messages

Köszönjük JZ segítségét.

MobileInstallation

Köszönjük Gongyu Ma (@Mezone0) segítségét.

Music

Köszönjük Mohammad Kaif (@_mkahmad | kaif0x01) segítségét.

Notes

Köszönjük Dawuge (Shuffle Team és Hunan University) segítségét.

NSOpenPanel

Köszönjük Barath Stalin K segítségét.

ppp

Szeretnénk megköszönni Dave G. segítségét.

Quick Look

Köszönjük Wojciech Regula (SecuRing, wojciechregula.blog) és egy anonim kutató segítségét.

Safari

Köszönjük @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair segítségét.

Sandbox

Köszönjük Morris Richman (@morrisinlife), Prashan Samarathunge, 要乐奈 segítségét.

Shortcuts

Köszönjük Waleed Barakat (@WilDN00B) és Paul Montgomery (@nullevent) segítségét.

Siri

Köszönjük Anand Mallaya (technológia tanácsadó, Anand Mallaya and Co.), Harsh Kirdolia, Hrishikesh Parmar (egyéni vállalkozó), HvxyZLF, Kun Peeks (@SwayZGl1tZyyy) segítségét.

Spotlight

Köszönjük Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman segítségét.

System Settings

Köszönjük Christian Scalese (www.linkedin.com/in/christian-scalese-5794092aa), Karol Mazurek (@karmaz, AFINE), Raffaele Sabato (SentinelOne) segítségét.

Time Zone

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

UIKit

Köszönjük AEC, Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp segítségét.

Wallet

Köszönjük Zhongcheng Li (IES Red Team, ByteDance) segítségét.

Web Extensions

Köszönjük Carlos Jeurissen, Rob Wu (robwu.nl) segítségét.

WebKit

Köszönjük Vamshi Paili segítségét.

Wi-Fi

Köszönjük Kun Peeks (@SwayZGl1tZyyy) és egy anonim kutató segítségét.

Wi-Fi Connectivity

Köszönjük Alex Radocea (Supernetworks, Inc) segítségét.

Widgets

Köszönjük Marcel Voß, Mitul Pranjay, Serok Çelik segítségét.

zsh

Köszönjük Jian Lee (@speedyfriend433) segítségét.