CVE-2026-28864 Apple — эксплойт и детали уязвимости LOW

Параметр	Значение
CVSS	3,3 (LOW)
Уязвимые версии	14.0 — 26.4
Устранено в версии	18.7.7
Тип уязвимости	CWE-863 (Неправильная авторизация)
Поставщик	Apple
Публичный эксплойт	Нет

Проблема решена путем улучшенной проверки разрешений. Эта проблема исправлена в iOS 18.7.7 и iPadOS 18.7.7, iOS 26.4 и iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4, VisionOS 26.4, watchOS 26.4. Локальный злоумышленник может получить доступ к элементам связки ключей пользователя.

Показать оригинальное описание (EN)

This issue was addressed with improved permissions checking. This issue is fixed in iOS 18.7.7 and iPadOS 18.7.7, iOS 26.4 and iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4, visionOS 26.4, watchOS 26.4. A local attacker may gain access to user's Keychain items.

Характеристики атаки

Способ атаки

Локальный

Нужен локальный доступ

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Требуется

Нужно действие пользователя

Последствия

Конфиденциальность

Низкое

Частичная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 9

Конфигурация	От (включительно)	До (исключительно)
Apple Ipados cpe:2.3:o:apple:ipados::::::::	—	`18.7.7`
Apple Ipados cpe:2.3:o:apple:ipados::::::::	`26.0`	`26.4`
Apple Iphone_Os cpe:2.3:o:apple:iphone_os::::::::	—	`18.7.7`
Apple Iphone_Os cpe:2.3:o:apple:iphone_os::::::::	`26.0`	`26.4`
Apple Macos cpe:2.3:o:apple:macos::::::::	`14.0`	`14.8.5`
Apple Macos cpe:2.3:o:apple:macos::::::::	`15.0`	`15.7.5`
Apple Macos cpe:2.3:o:apple:macos::::::::	`26.0`	`26.4`
Apple Visionos cpe:2.3:o:apple:visionos::::::::	—	`26.4`
Apple Watchos cpe:2.3:o:apple:watchos::::::::	—	`26.4`