Zawartość związana z zabezpieczeniami w systemie macOS Tahoe 26.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Tahoe 26.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Tahoe 26.4

802.1X

Dostępne dla: systemu macOS Tahoe

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28865: Héloïse Gollier i Mathy Vanhoef (KU Leuven)

Accounts

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28877: Rosyna Keller z Totally Not Malicious Software

Admin Framework

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Aplikacja z uprawnieniami użytkownika root może być w stanie usunąć chronione pliki systemowe.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2026-28823: Ryan Dowd (@_rdowd)

apache

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Liczne błędy na serwerze Apache.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28824: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z przechodzeniem na starszą wersję w Macach z procesorem Intel, wprowadzając dodatkowe ograniczenia dotyczące podpisywania kodu.

CVE-2026-20699: Mickey Jin (@patch1t)

AppleScript

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może ominąć kontrole funkcji Gatekeeper.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-20684: Koh M. Nakagawa (@tsunek0h) z FFRI Security, Inc.

Archive Utility

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2026-20633: Mickey Jin (@patch1t)

Audio

Dostępne dla: systemu macOS Tahoe

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2026-28879: Justin Cohen z Google

Audio

Dostępne dla: systemu macOS Tahoe

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2026-28822: Jex Amro

Calling Framework

Dostępne dla: systemu macOS Tahoe

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28894: Anonimowy badacz

Clipboard

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Przetworzenie strumienia audio w złośliwie spreparowanym pliku multimedialnym może spowodować zakończenie procesu.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-20690: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreServices

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: w weryfikacji uprawnień występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności uprawnień procesów.

CVE-2026-28821: YingQi Shi (@Mas0nShi) z laboratorium WeBin firmy DBAppSecurity

CoreServices

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2026-28838: Anonimowy badacz

CoreUtils

Dostępne dla: systemu macOS Tahoe

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28886: Etienne Charron (Renault) i Victoria Martini (Renault)

Crash Reporter

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: rozwiązano problem z prywatnością przez usunięcie poufnych danych.

CVE-2026-28878: Zhongcheng Li from IES Red Team

CUPS

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2026-28888: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

CUPS

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Podczas korzystania z podglądu wydruku może dojść do zapisania dokumentu w pliku tymczasowym.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.

CVE-2026-28893: Asaf Cohen

curl

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Występował problem w curl, który mógł skutkować niezamierzonym przesyłaniem poufnych informacji przez niewłaściwe połączenie.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-14524

DeviceLink

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2026-28876: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

Diagnostics

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: rozwiązano problem z uprawnieniami przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2026-28892: 风沐云烟 (@binary_fmyy) i Minghao Lin (@Y1nKoc)

File System

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28832: DARKNAVY (@DarkNavyOrg)

GeoServices

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: wyciek informacji został rozwiązany poprzez wprowadzenie dodatkowej weryfikacji.

CVE-2026-28870: XiguaSec

GPU Drivers

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2026-28834: Anonimowy badacz

iCloud

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano błąd prywatności przez przeniesienie poufnych danych.

CVE-2026-28881: Ye Zhang z Baidu Security, Ryan Dowd (@_rdowd), Csaba Fitzl (@theevilbit) z Iru

iCloud

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-28880: Zhongcheng Li from IES Red Team

CVE-2026-28833: Zhongcheng Li from IES Red Team

ImageIO

Dostępne dla: systemu macOS Tahoe

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-64505

IOGraphics

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Przepełnienie buforu może spowodować uszkodzenie pamięci i nieoczekiwane zakończenie działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2026-28842: Joseph Ravichandran (@0xjprx) z MIT CSAIL

IOGraphics

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Przepełnienie buforu może spowodować uszkodzenie pamięci i nieoczekiwane zakończenie działania aplikacji.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2026-28841: Joseph Ravichandran (@0xjprx) z MIT CSAIL

Kernel

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-28868: 이동하 (Lee Dong Ha z BoB 0xB6)

Kernel

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: ten błąd naprawiono przez poprawienie mechanizmu uwierzytelniania.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: Usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania pamięcią.

CVE-2026-20695: 이동하 (Lee Dong Ha z BoB 0xB6) w ramach programu TrendAI Zero Day Initiative, hari shanmugam

Kernel

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-20687: Johnny Franks (@zeroxjf)

LaunchServices

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28845: Yuebin Sun (@yuebinsun2020), anonimowy badacz, Nathaniel Oh (@calysteon), Kirin (@Pwnrin), Wojciech Reguła z SecuRing (wojciechregula.blog), Joshua Jewett (@JoshJewett33), anonimowy badacz

libxpc

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2026-28882: Ilias Morad (A2nkF) z Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

libxpc

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-20607: Anonimowy badacz

Mail

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Ustawienia „Ukrywanie adresu IP” i „Blokuj całą zawartość zdalną” mogą nie mieć zastosowania do całej zawartości poczty.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi preferencji użytkownika.

CVE-2026-20692: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

MigrationKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf) z Lupus Nova

Music

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2026-20632: Rodolphe Brunetti (@eisw0lf) z Lupus Nova

NetAuth

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2026-28839: Mickey Jin (@patch1t)

NetAuth

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Aplikacja może być w stanie nawiązać połączenie z udziałem sieciowym bez zgody użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2026-20701: Matej Moravec (@MacejkoMoravec)

NetAuth

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2026-28891: Anonimowy badacz

NetFSFramework

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2026-28827: Csaba Fitzl (@theevilbit) z Iru, anonimowy badacz

Notes

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie usunąć pliki, do których nie ma uprawnień.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2026-28816: Dawuge z Shuffle Team oraz Hunan University

NSColorPanel

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2026-28826: Anonimowy badacz

PackageKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2026-20631: Gergely Kalman (@gergely_kalman)

PackageKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: osoba atakująca z uprawnieniami użytkownika root może być w stanie usunąć chronione pliki systemowe.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2026-20693: Mickey Jin (@patch1t)

Phone

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2026-28862: Kun Peeks (@SwayZGl1tZyyy)

Printing

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28831: Anonimowy badacz

Printing

Dostępne dla: systemu macOS Tahoe

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2026-28817: Gyujeong Jin (@G1uN4sh) w Team.0xb6

Printing

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2026-20688: wdszzml i Atuin Automated Vulnerability Discovery Engine

Security

Dostępne dla: systemu macOS Tahoe

Zagrożenie: lokalna osoba atakująca może uzyskać dostęp do rzeczy w pęku kluczy.

Opis: ten błąd naprawiono przez poprawienie sprawdzania uprawnień.

CVE-2026-28864: Alex Radocea

SMB

Dostępne dla: systemu macOS Tahoe

Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego SMB może spowodować nieoczekiwane zamknięcie systemu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2026-28835: Christian Kohlschütter

SMB

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28825: Sreejith Krishnan R

Spotlight

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-28818: @pixiepointsec

Spotlight

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-20697: @pixiepointsec

StorageKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2026-28820: Mickey Jin (@patch1t)

System Settings

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2026-28837: Luke Roberts (@rookuu)

SystemMigration

Dostępne dla: systemu macOS Tahoe

Zagrożenie: osoba atakująca może uzyskać dostęp do chronionych części systemu plików.

Opis: usunięto błąd dostępu do pliku przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28844: Pedro Tôrres (@t0rr3sp3dr0)

TCC

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z uprawnieniami przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2026-28828: Mickey Jin (@patch1t)

UIFoundation

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd przepełnienia stosu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28852: Caspian Tarafdar

WebDAV

Dostępne dla: systemu macOS Tahoe

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-28829: Sreejith Krishnan R

WebKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2026-20665: webb

WebKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ominąć zasadę tego samego pochodzenia.

Opis: naprawiono błąd dotyczący różnych źródeł w interfejsie API Navigation przez poprawienie sprawdzania poprawności danych wejściowych.

CVE-2026-20643: Thomas Espach

WebKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2026-28871: @hamayanhamayan

WebKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Złośliwa witryna internetowa może uzyskać dostęp do programów obsługi komunikatów skryptowych przeznaczonych dla innych źródeł.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2026-28861: Hongze Wu i Shuaike Dong z Ant Group Infrastructure Security Team

WebKit

Dostępne dla: systemu macOS Tahoe

Zagrożenie: Złośliwa witryna może być w stanie przetwarzać zawartość internetową objętą ograniczeniami poza piaskownicą.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Dostępne dla: systemu macOS Tahoe

Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Dodatkowe podziękowania

Accessibility

Dziękujemy za udzieloną pomoc: acob Prezant (prezant.us).

Admin Framework

Dziękujemy za udzieloną pomoc: Sota Toyokura.

AirPort

Dziękujemy za udzieloną pomoc: Frantisek Piekut, Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii.

Bluetooth

Dziękujemy za udzieloną pomoc: Hamid Mahmoud.

Captive Network

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Iru, Kun Peeks (@SwayZGl1tZyyy).

CipherML

Dziękujemy za udzieloną pomoc: Nils Hanff (@nils1729@chaos.social) z Hasso Plattner Institute.

CloudAttestation

Dziękujemy za udzieloną pomoc: Suresh Sundaram, Willard Jansen.

Core Bluetooth

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

CoreServices

Dziękujemy za udzieloną pomoc: Fein, Iccccc & Ziiiro.

CoreUI

Dziękujemy za udzieloną pomoc: Peter Malone.

Disk Images

Dziękujemy za udzieloną pomoc: Jonathan Bar Or (@yo_yo_yo_jbo).

Find My

Dziękujemy za udzieloną pomoc: Salemdomain.

GPU Drivers

Dziękujemy za udzieloną pomoc: Jian Lee (@speedyfriend433).

ICU

Dziękujemy za udzieloną pomoc: Jian Lee (@speedyfriend433).

ImageKit

Dziękujemy za udzieloną pomoc: Lyutoon i YenKoc, Mingxuan Yang (@PPPF00L), Minghao Lin (@Y1nKoc) oraz 风 (@binary_fmyy) z 抽象刷怪笼.

Kerberos v5 PAM module

Dziękujemy za udzieloną pomoc: Jian Lee (@speedyfriend433).

Kernel

Dziękujemy za udzieloną pomoc: DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville z Fuzzinglabs, Patrick Ventuzelo z Fuzzinglabs, Robert Tran, Suresh Sundaram, Xinru Chi z Pangu Lab.

libarchive

Dziękujemy za udzieloną pomoc: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs, Arni Hardarson.

libc

Dziękujemy za udzieloną pomoc: Vitaly Simonovich.

Libnotify

Dziękujemy za udzieloną pomoc: Ilias Morad (@A2nkF_).

LLVM

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

mDNSResponder

Dziękujemy za udzieloną pomoc: William Mather.

Messages

Dziękujemy za udzieloną pomoc: JZ.

MobileInstallation

Dziękujemy za udzieloną pomoc Gongyu Ma (@Mezone0).

Music

Dziękujemy za udzieloną pomoc: Mohammad Kaif (@_mkahmad | kaif0x01).

Notes

Dziękujemy za udzieloną pomoc: Dawuge z Shuffle Team i Hunan University.

NSOpenPanel

Dziękujemy za udzieloną pomoc: Barath Stalin K.

ppp

Dziękujemy za udzieloną pomoc: Dave G.

Quick Look

Dziękujemy za udzieloną pomoc: Wojciech Reguła z SecuRing (wojciechregula.blog), anonimowy badacz.

Safari

Dziękujemy za udzieloną pomoc: @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.

Sandbox

Dziękujemy za udzieloną pomoc: Morris Richman (@morrisinlife), Prashan Samarathunge, 要乐奈.

Shortcuts

Dziękujemy za udzieloną pomoc: Waleed Barakat (@WilDN00B) i Paul Montgomery (@nullevent).

Siri

Dziękujemy za udzieloną pomoc: Anand Mallaya, konsultant techniczny, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar (własna działalność gospodarcza), HvxyZLF, Kun Peeks (@SwayZGl1tZyyy).

Spotlight

Dziękujemy za udzieloną pomoc: Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman.

System Settings

Dziękujemy za udzieloną pomoc: Christian Scalese (www.linkedin.com/in/christian-scalese-5794092aa), Karol Mazurek (@karmaz) z AFINE, Raffaele Sabato w SentinelOne.

Time Zone

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Safran Mumbai India.

UIKit

Dziękujemy za udzieloną pomoc: AEC, Abhay Kailasia (@abhay_kailasia) z Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departament Marynarki Wojennej Stanów Zjednoczonych), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp.

Wallet

Dziękujemy za udzieloną pomoc: Zhongcheng Li z IES Red Team firmy ByteDance.

Web Extensions

Dziękujemy za udzieloną pomoc: Carlos Jeurissen, Rob Wu (robwu.nl).

WebKit

Dziękujemy za udzieloną pomoc: Vamshi Paili.

Wi-Fi

Dziękujemy za udzieloną pomoc: Kun Peeks (@SwayZGl1tZyyy), anonimowy badacz.

Wi-Fi Connectivity

Dziękujemy za udzieloną pomoc: Alex Radocea z Supernetworks, Inc.

Widgets

Dziękujemy za udzieloną pomoc: Marcel Voß, Mitul Pranjay, Serok Çelik.

zsh

Dziękujemy za udzieloną pomoc: Jian Lee (@speedyfriend433).