Apple va publicar el 24 de març de 2026 una tongada gran d’actualitzacions de seguretat, i dins de macOS Tahoe 26.4 hi ha CVE-2026-20698, un error al mateix kernel del sistema. No és dels que es poden disparar des d’una pàgina web ni des d’un correu: cal codi que ja s’estigui executant a la màquina. Tot i així, val la pena aplicar-lo aviat, perquè toca la part més sensible del sistema.
Què és l’error
Apple ho descriu amb la seva parquedat habitual. El problema és al Kernel de macOS i l’impacte és que “una aplicació pot provocar el tancament inesperat del sistema o corrompre la memòria del kernel”. La causa, segons la mateixa nota, és una gestió deficient de memòria, i la correcció va consistir a millorar aquest maneig.
A la pràctica, una app amb permisos normals, sense necessitat de ser root, podia passar dades al kernel de manera que aquest les tractés malament i acabés escrivint o llegint on no tocava. El resultat mínim és un kernel panic: la màquina es reinicia sola. El resultat pitjor és la corrupció de memòria del kernel, que en mans d’un atacant hàbil pot convertir-se en el primer baula d’una cadena per elevar privilegis. Apple no ha publicat el detall tècnic exacte ni hi ha constància d’explotació activa, però el patró és el clàssic dels errors de memòria del kernel.
A qui afecta
El pegat es distribueix amb macOS Tahoe 26.4. Apple va treure el mateix dia actualitzacions per a les branques anteriors que encara reben suport, macOS Sequoia 15.7.5 i macOS Sonoma 14.8.5, dins d’una tongada que tanca més de 70 CVE en total. Entre els més seriosos d’aquesta tanda hi ha un error d’autorització a PackageKit que donava accés root (CVE-2026-28840), una verificació d’entitlements trencada a CoreServices (CVE-2026-28821) i una condició de carrera a CUPS (CVE-2026-28888).
Si fas servir un Mac al dia, t’afecta. L’error és al kernel, així que no depèn que tinguis instal·lada tal o tal aplicació d’Apple: és el cor del sistema.
Gravetat
Apple no assigna puntuacions CVSS a les seves notes, però la combinació de “corrupció de memòria del kernel” amb un vector local situa això en el rang alt. El que rebaixa una mica la urgència és que requereix execució prèvia de codi a l’equip. Un atacant necessita ja tenir una app maliciosa funcionant, o encadenar aquest error amb un altre que li doni aquest punt de suport. Per això sol aparèixer en cadenes d’explotació al costat de vulnerabilitats de navegador o d’aplicacions, no com a porta d’entrada per si sol.
Què cal fer
Actualitza. A Configuració del Sistema, a General, Actualització de programari, comprova que tens macOS Tahoe 26.4 (o 15.7.5 / 14.8.5 segons la teva branca). El mateix paquet de seguretat d’Apple inclou la correcció, no hi ha res manual a tocar. Si gestiones una flota de Macs amb MDM, prioritza el desplegament: en tancar també els errors de PackageKit i CoreServices, aquesta tongada tapa diverses vies d’escalada alhora.
Apple ha començat a més a fer servir el seu mecanisme de Background Security Improvements per lliurar pegats petits entre versions majors, però aquesta correcció de kernel va arribar per la via clàssica de l’actualització completa.
Font
- Apple Support, sobre el contingut de seguretat de macOS Tahoe 26.4: https://support.apple.com/en-us/126794
- Detall del CVE a NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-20698