Hacker News 中文摘要

文章摘要

苹果发布了macOS Tahoe 26.5的安全更新，修复了四个漏洞：可能导致拒绝服务的越界读取问题、可绕过隐私权限设置的权限问题、可能引发系统意外终止的缓冲区溢出问题，以及恶意应用可能突破沙箱限制的逻辑问题。这些漏洞均已分配CVE编号并得到修复。

苹果安全更新报告：macOS Tahoe 26.5版本漏洞修复

发布日期：2026年5月11日

安全公告：苹果公司出于对用户的保护，在完成调查并发布补丁前不会披露、讨论或确认安全问题。最新安全更新详见苹果安全发布页面。

主要修复漏洞：

其他重要修复： - 图像处理漏洞（CVE-2026-1837） - 内核内存泄露（CVE-2026-28943） - Gatekeeper绕过（CVE-2026-28954） - WebKit相关漏洞（多个CVE编号）

致谢：苹果特别感谢以下研究人员和安全团队： - Asaf Cohen - Andreas Jaegersberger & Ro Achterberg（Nosebeard Labs） - Kun Peeks (@SwayZGl1tZyyy) - 趋势科技零日计划团队 - 以及其他匿名研究人员

注：本公告提及的非苹果产品或第三方网站仅供参考，苹果不对其准确性或可靠性负责。更多安全信息请访问苹果产品安全页面。

（注：根据编辑要求，已删除重复的致谢内容，合并同类漏洞描述，保留核心安全信息，总字数控制在300字左右）

以下是评论内容的总结：

漏洞修复与系统更新争议
- 支持立即更新：
  - "Seems like staying on bleeding edge is going to be the name of the game"（vessenes）
  - "This isn't a 26.5 bug, this is a bug fixed in 26.5"（ZPrimed）
- 反对立即更新：
  - "One more reason to avoid upgrading to Tahoe"（sda2）
  - "I haven't been able to update my iPhone in months because it just does not have enough room"（maximilianburke）
漏洞发现方式讨论
- 对AI工具作用的关注：
  - "Will there be dedicated servers running coding agents...to find vulnerabilities 24/7?"（fl1pper）
  - "I wonder how well Apple has deployed these tools internally"（concinds）
- 技术细节探讨：
  - "I wonder what makes such vulnerability difficult to discover by traditional SAST tools?"（three_burgers）
  - "when multiple independent parties are simultaneously tripping over different holes...that's a systemic attack surface problem"（immanuwell）
更新包大小问题
- "13 GB is crazy"（dragonsenseiguy）
- "massive software development malpractice to tie together critical OS updates with whatever else"（maximilianburke）
漏洞关联性说明
- "this bug has nothing to do with our recent MIE attack"（cryptbe）
- "this isn't exclusive to Tahoe"（Aurornis）
厂商透明度对比
- "Apple still doesn't appear to disclose vulnerabilities found internally"（concinds）
- 提供CVE详细链接（neuronexmachina）