Apple lanzó macOS Tahoe 26.5 el 11 de mayo de 2026 con correcciones repartidas por más de veinte subsistemas, desde el kernel hasta el sistema de impresión CUPS. El parche que más debería preocupar a quien administra Macs es CVE-2026-28954, un fallo que deja a Gatekeeper sin hacer su trabajo.
Qué es CVE-2026-28954
Gatekeeper es la barrera que decide si una aplicación descargada puede ejecutarse. Comprueba la firma y respeta el atributo de cuarentena que macOS pone a los ficheros que llegan de internet. CVE-2026-28954 rompe esa comprobación: una imagen de disco manipulada puede saltarse el control de cuarentena y, con él, las validaciones de Gatekeeper. Apple lo describe como un fallo de bypass de cuarentena de fichero, resuelto añadiendo comprobaciones adicionales. El reporte viene de Yiğit Can YILMAZ.
El efecto práctico es que un atacante puede empaquetar código en un .dmg y conseguir que el sistema lo trate como si no viniera de internet, evitando el aviso que normalmente frena a una aplicación sin notarizar. Encaja bien en campañas que dependen de que la víctima abra un instalador descargado de un sitio cualquiera.
Los dos fallos de kernel del mismo lote
Tahoe 26.5 trae otras dos correcciones en el kernel que conviene aplicar a la vez:
- CVE-2026-28897, un desbordamiento de buffer en el kernel. Permite a un usuario local provocar el cierre inesperado del sistema o leer memoria del kernel. Apple lo arregló con mejor validación de entrada.
- CVE-2026-28972, una escritura fuera de límites. Una app puede provocar el cierre inesperado del sistema o escribir en memoria del kernel, lo que abre la puerta a corromper estructuras privilegiadas. También se resolvió mejorando la validación de entrada.
Leer memoria del kernel ayuda a saltarse la aleatorización de direcciones; escribir en ella es el ladrillo con el que se construye una escalada de privilegios. Por separado son problemas serios; combinados con otro fallo de cadena, son justo lo que busca un exploit local.
A quién afecta y qué hacer
Cualquier Mac con macOS Tahoe es candidata. CVE-2026-28954 importa especialmente en equipos donde los usuarios instalan software de fuera de la App Store, porque ahí Gatekeeper es la última línea antes de ejecutar algo dudoso. Los dos fallos de kernel piden acceso local, así que el riesgo crece en máquinas compartidas o con cuentas de menor confianza.
Apple no ha indicado explotación activa de ninguno de estos fallos en el momento de la publicación. Aun así, los bypass de Gatekeeper se reutilizan rápido una vez documentados, así que no conviene esperar.
La mitigación es directa: actualizar a macOS Tahoe 26.5 desde Ajustes del Sistema, Generales, Actualización de software. No hay configuración intermedia ni flag que sustituya al parche. Si gestionas una flota, fuerza la actualización por MDM y revisa que ningún equipo se quede en una versión anterior.
Tienes los detalles de macOS y su historial de versiones en la ficha de macOS.