CVE-2026-28952: Apple macOS 26.5 Kernel Vuln found by Claude
8 hours ago
- #macOS security
- #vulnerability fixes
- #system updates
- macOS Tahoe 26.5版本于2026年5月11日发布,修复了多个系统组件中的安全漏洞。
- 主要漏洞包括:Accelerate(CVE-2026-28991)存在越界读取导致拒绝服务;Accounts(CVE-2026-28988)允许应用绕过隐私偏好;APFS(CVE-2026-28959)存在缓冲区溢出导致系统终止;App Intents(CVE-2026-28995)允许沙箱逃逸。
- AppleJPEG漏洞(CVE-2026-1837、CVE-2026-28956)影响图像处理,可能导致拒绝服务或内存损坏。
- CoreMedia(CVE-2026-28922)和CoreServices(CVE-2026-28936)漏洞可能导致私人信息泄露和应用终止。
- CUPS(CVE-2026-28915)存在解析问题,允许提权至root权限。
- FileProvider(CVE-2026-43659)修复了竞争条件,可能导致敏感数据访问。
- GPU Drivers(CVE-2026-28923)和HFS(CVE-2026-28925)漏洞涉及沙箱逃逸和内核内存写入。
- ImageIO漏洞(CVE-2026-43661、CVE-2026-28977、CVE-2026-28990)可能导致内存损坏和应用因恶意图像而终止。
- Installer(CVE-2026-28978)和IOHIDFamily(CVE-2026-28992、CVE-2026-28943)修复沙箱逃逸、应用终止和内核内存布局泄露问题。
- IOKit(CVE-2026-28969)和IOSurfaceAccelerator(CVE-2026-43655)漏洞可能导致系统终止或内核内存读取。
- 多个内核漏洞包括:内存泄露(CVE-2026-43654)、文件系统修改(CVE-2026-28908)、Gatekeeper绕过(CVE-2026-28954)、系统终止(CVE-2026-28897、CVE-2026-28952、CVE-2026-28986)、root权限提升(CVE-2026-28951)和内核内存写入(CVE-2026-28972)。
- LaunchServices(CVE-2026-28983)和Mail Drafts(CVE-2026-28929)修复了拒绝服务和远程图像显示问题。
- mDNSResponder漏洞(CVE-2026-43653、CVE-2026-28985、CVE-2026-43668、CVE-2026-43666)可能导致网络攻击引发拒绝服务和内存损坏。
- Model I/O(CVE-2026-28941、CVE-2026-28940)、Network Extensions(CVE-2026-28961)和Networking(CVE-2026-28906)修复了文件/图像处理风险及用户跟踪问题。
- Quick Look(CVE-2026-43656)、Sandbox(CVE-2026-43652)、SceneKit(CVE-2026-39870、CVE-2026-28846)、Shortcuts(CVE-2026-28993)漏洞包括应用终止、数据访问和内存损坏。
- SMB(CVE-2026-28848)、Spotlight(CVE-2026-28930、CVE-2026-28974)、Storage(CVE-2026-28996)、StorageKit(CVE-2026-28919)修复了系统终止、数据访问、拒绝服务和root权限提升问题。
- Sync Services(CVE-2026-28924)、TV App(CVE-2026-39871)、UserAccountUpdater(CVE-2026-28976)漏洞涉及联系人访问、未受保护的数据观察和root权限问题。
- WebKit漏洞(多个CVE ID)包括内容安全策略绕过、敏感信息泄露、意外崩溃和数据访问。
- WebRTC(CVE-2026-28944)和Wi-Fi(CVE-2026-28819、CVE-2026-28994)漏洞可能导致进程崩溃、内核权限执行和拒绝服务。
- zip(CVE-2026-28914)和zlib(CVE-2026-28920)修复了Gatekeeper绕过和数据泄露问题。
- 更新还致谢了App Intents、Apple Account、Kernel、WebKit等多个组件的贡献者。