Apple va publicar macOS Tahoe 26.5 l’11 de maig de 2026 amb correccions repartides per més de vint subsistemes, des del kernel fins al sistema d’impressió CUPS. El pedaç que més hauria de preocupar qui administra Macs és CVE-2026-28954, un error que deixa Gatekeeper sense fer la seva feina.
Què és CVE-2026-28954
Gatekeeper és la barrera que decideix si una aplicació descarregada es pot executar. Comprova la signatura i respecta l’atribut de quarantena que macOS posa als fitxers que arriben d’internet. CVE-2026-28954 trenca aquesta comprovació: una imatge de disc manipulada pot saltar-se el control de quarantena i, amb ell, les validacions de Gatekeeper. Apple ho descriu com un bypass de quarantena de fitxer, resolt afegint comprovacions addicionals. El report ve de Yiğit Can YILMAZ.
A la pràctica un atacant pot empaquetar codi dins d’un .dmg i aconseguir que el sistema el tracti com si no vingués d’internet, evitant l’avís que normalment frena una aplicació sense notaritzar. Encaixa bé amb campanyes que depenen que la víctima obri un instal·lador baixat d’un lloc qualsevol.
Els dos errors de kernel del mateix lot
Tahoe 26.5 porta dues correccions més al kernel que convé aplicar alhora:
- CVE-2026-28897, un desbordament de buffer al kernel. Permet a un usuari local provocar el tancament inesperat del sistema o llegir memòria del kernel. Apple ho va arreglar amb millor validació d’entrada.
- CVE-2026-28972, una escriptura fora de límits. Una app pot provocar el tancament inesperat del sistema o escriure a memòria del kernel, cosa que obre la porta a corrompre estructures privilegiades. També es va resoldre millorant la validació d’entrada.
Llegir memòria del kernel ajuda a saltar-se l’aleatorització d’adreces; escriure-hi és el material amb què es construeix una escalada de privilegis. Per separat ja són problemes seriosos; encadenats amb un altre error són just allò que busca un exploit local.
A qui afecta i què fer
Qualsevol Mac amb macOS Tahoe és candidata. CVE-2026-28954 importa especialment en equips on els usuaris instal·len programari de fora de l’App Store, perquè allà Gatekeeper és l’última línia abans d’executar res dubtós. Els dos errors de kernel demanen accés local, així que el risc creix en màquines compartides o amb comptes de menys confiança.
Apple no ha indicat explotació activa de cap d’aquests errors en el moment de la publicació. Tot i així, els bypass de Gatekeeper es reutilitzen ràpid un cop documentats, de manera que esperar no és bona idea.
La mitigació és directa: actualitzar a macOS Tahoe 26.5 des de Configuració del Sistema, General, Actualització de programari. No hi ha cap configuració intermèdia ni flag que substitueixi el pedaç. Si gestiones una flota, força l’actualització per MDM i revisa que cap equip es quedi en una versió anterior.
Tens els detalls de macOS i el seu historial de versions a la fitxa de macOS.