El 24 de març de 2026 Apple va publicar macOS Tahoe 26.4, una actualització que corregeix més de setanta vulnerabilitats de seguretat. La que més preocupa porta l’identificador CVE-2026-28840 i viu al PackageKit, el component del sistema que s’encarrega d’instal·lar paquets i programari. Una aplicació maliciosa que ja s’estigués executant a l’equip podia aprofitar aquest error per fer-se amb privilegis de root, és a dir, control total sobre la màquina.
Què falla exactament
Apple descriu CVE-2026-28840 com un problema de permisos que s’ha resolt afegint restriccions addicionals. El PackageKit corre amb privilegis elevats perquè necessita escriure en zones del sistema que un usuari normal no pot tocar. L’error permetia que una app sense privilegis especials abusés d’aquest canal i acabés executant codi com a root.
No és l’única escalada de la tanda. Apple corregeix també CVE-2026-28821 a CoreServices, on una verificació defectuosa dels entitlements (els permisos signats que Apple assigna a cada procés) permetia a una app guanyar privilegis elevats. I CVE-2026-28888 a CUPS, el sistema d’impressió, una condició de cursa que també obria la porta a root. Tres camins diferents cap al mateix objectiu, tots tres tancats en aquesta versió.
A qui afecta
El butlletí d’Apple documenta aquests tres errors per a macOS Tahoe 26.4. El mateix dia Apple va llançar actualitzacions de seguretat per a les branques anteriors que encara reben suport, Sequoia 15.7.5 i Sonoma 14.8.5, tot i que el detall per CVE d’aquestes versions es publica als seus propis butlletins.
Val la pena posar-ho en perspectiva. Per explotar CVE-2026-28840 cal que l’atacant ja tingui codi corrent al teu Mac. No és un error que es dispari només visitant un web o obrint un correu. El risc real apareix quan ja has instal·lat alguna cosa dubtosa, o quan una altra vulnerabilitat fa de primer esglaó. Tot i així, una escalada a root és el que converteix una intrusió menor en un compromís complet del sistema, i per això Apple ho tracta com a prioritari.
Com protegir-se
La solució és directa: actualitza. Vés a Configuració del Sistema, General, Actualització de programari i aplica macOS Tahoe 26.4. Si fas servir Sequoia o Sonoma, instal·la 15.7.5 o 14.8.5 respectivament. No hi ha mitigació parcial que substitueixi el pegat; la correcció és al codi del mateix sistema.
Si gestiones una flota d’equips, prioritza el desplegament d’aquestes versions per damunt d’actualitzacions cosmètiques. Les escalades locals a root solen trigar poc a aparèixer en kits de postexplotació, així que el marge entre la publicació de l’avís i l’aparició d’exploits públics pot ser curt.
Per a qui vulgui el context complet, a LinuxGratis mantenim la fitxa de macOS amb versions, dates de suport i novetats de seguretat.
Font
- Apple, About the security content of macOS Tahoe 26.4: https://support.apple.com/en-us/126794
- NVD, CVE-2026-28840: https://nvd.nist.gov/vuln/detail/CVE-2026-28840