Mengenai konten keamanan macOS Tahoe 26.3

Dokumen ini menjelaskan konten keamanan macOS Tahoe 26.3.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Tahoe 26.3

Admin Framework

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.

CVE-2026-20669: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.

CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)

AppleMobileFileIntegrity

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah injeksi telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-20624: Mickey Jin (@patch1t)

Bluetooth

Tersedia untuk: macOS Tahoe

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat melakukan serangan DoS (denial-of-service) menggunakan paket Bluetooth perusak

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-20650: jioundai

CFNetwork

Tersedia untuk: macOS Tahoe

Dampak: Pengguna jarak jauh mungkin dapat menulis file arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.

CVE-2026-20660: Amy (amys.website)

Contacts

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses informasi tentang kontak pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2026-20681: Kirin (@Pwnrin) dan LFY (@secsys) dari Fudan University

CoreAudio

Tersedia untuk: macOS Tahoe

Dampak: Memproses file media perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau kerusakan memori proses

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20611: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro

CoreMedia

Tersedia untuk: macOS Tahoe

Dampak: Memproses file perusak yang berbahaya dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) dari Iru

CoreServices

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2026-20615: Csaba Fitzl (@theevilbit) dari Iru dan Gergely Kalman (@gergely_kalman)

CoreServices

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah muncul saat menangani variabel lingkungan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-20627: peneliti anonim

dyld

Tersedia untuk: macOS Tahoe

Dampak: Penyerang yang memiliki kemampuan menulis memori mungkin dapat mengeksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi dalam serangan yang amat sangat kompleks terhadap sejumlah individu spesifik yang ditarget pada versi-versi iOS sebelum iOS 26. CVE-2025-14174 dan CVE-2025-43529 juga dirilis sehubungan dengan laporan ini.

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20700: Google Threat Analysis Group

Foundation

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2026-20629: Asaf Cohen

Foundation

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat memantau ketukan tombol tanpa seizin pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-20601: peneliti anonim

Foundation

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data pengguna yang dilindungi

Deskripsi: Masalah izin telah diatasi dengan menghapus kode yang rentan.

CVE-2026-20623: peneliti anonim

Game Center

Tersedia untuk: macOS Tahoe

Dampak: Pengguna dapat melihat informasi rahasia pengguna

Deskripsi: Masalah pencatatan telah diatasi dengan penyamaran data yang ditingkatkan.

CVE-2026-20649: Asaf Cohen

GPU Drivers

Tersedia untuk: macOS Tahoe

Dampak: Penyerang mungkin dapat menyebabkan penghentian sistem tiba-tiba atau membaca memori kernel

Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2026-20620: Murray Mike

ImageIO

Tersedia untuk: macOS Tahoe

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20675: George Karchemsky (@gkarchemsky) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: macOS Tahoe

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20634: George Karchemsky (@gkarchemsky) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Kernel

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Tersedia untuk: macOS Tahoe

Dampak: App yang berbahaya dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20626: Keisuke Hosoda

Kernel

Tersedia untuk: macOS Tahoe

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas jaringan

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data pengguna yang dilindungi

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-20630: peneliti anonim

libexpat

Tersedia untuk: macOS Tahoe

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2025-59375

libxpc

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20667: peneliti anonim

Mail

Tersedia untuk: macOS Tahoe

Dampak: Mematikan "Muat konten jarak jauh di pesan" mungkin tidak diterapkan untuk semua pratinjau email

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20673: peneliti anonim

Messages

Tersedia untuk: macOS Tahoe

Dampak: Pintasan mungkin dapat melewati pembatasan sandbox

Deskripsi: Kondisi pacu telah diatasi dengan penanganan tautan simbolis yang ditingkatkan.

CVE-2026-20677: Ron Masas dari BreakPoint.SH

Model I/O

Tersedia untuk: macOS Tahoe

Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20616: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

Notification Center

Tersedia untuk: macOS Tahoe

Dampak: App dengan hak istimewa root mungkin dapat mengakses informasi pribadi

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.

CVE-2026-20603: Kirin (@Pwnrin) dan LFY (@secsys) dari Fudan University

NSOpenPanel

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20666: peneliti anonim

Remote Management

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2026-20614: Gergely Kalman (@gergely_kalman)

Safari

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses riwayat Safari pengguna

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-20628: Noah Gregory (wts.dev)

Security

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah validasi paket telah diatasi dengan memblokir paket yang rentan terhadap serangan.

CVE-2026-20658: Pwn2car

Setup Assistant

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2026-20610: Gergely Kalman (@gergely_kalman)

Shortcuts

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Siri

Tersedia untuk: macOS Tahoe

Dampak: App yang berbahaya mungkin dapat mengakses pemberitahuan dari perangkat iCloud lain

Deskripsi: Masalah privasi telah diatasi dengan memindahkan data sensitif ke lokasi yang dilindungi.

CVE-2026-20648: Morris Richman (@morrisinlife)

Siri

Tersedia untuk: macOS Tahoe

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20662: Vivek Dhar, ASI (RM) di Border Security Force, FTR HQ BSF Kashmir

Siri

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.

CVE-2026-20647: Kirin (@Pwnrin)

Spotlight

Tersedia untuk: macOS Tahoe

Dampak: App di dalam sandbox mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah telah diatasi dengan pembatasan tambahan pada kemampuan mengamati status app.

CVE-2026-20680: peneliti anonim

Spotlight

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20612: Mickey Jin (@patch1t)

StoreKit

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengidentifikasi app lain yang telah diinstal pengguna

Deskripsi: Masalah privasi telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20641: Gongyu Ma (@Mezone0)

System Settings

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah pencatatan telah diatasi dengan penyamaran data yang ditingkatkan.

CVE-2026-20619: Asaf Cohen

System Settings

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2026-20618: Asaf Cohen

UIKit

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2026-20606: LeminLimez

Voice Control

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat menyebabkan proses sistem mengalami crash

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20605: @cloudlldb dari @pixiepointsec

Weather

Tersedia untuk: macOS Tahoe

Dampak: App berbahaya mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah pencatatan telah diatasi dengan penyamaran data yang ditingkatkan.

CVE-2026-20646: Morris Richman (@morrisinlife)

WebKit

Tersedia untuk: macOS Tahoe

Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Tersedia untuk: macOS Tahoe

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2026-20608: HanQing dari TSDubhe dan Nan Wang (@eternalsakura13)

WebKit

Tersedia untuk: macOS Tahoe

Dampak: Situs web mungkin dapat melacak pengguna melalui ekstensi web Safari

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2026-20676: Tom Van Goethem

WebKit

Tersedia untuk: macOS Tahoe

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20644: HanQing dari TSDubhe dan Nan Wang (@eternalsakura13)

CVE-2026-20636: EntryHi

CVE-2026-20635: EntryHi

Wi-Fi

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20621: Wang Yu dari Cyberserval

WindowServer

Tersedia untuk: macOS Tahoe

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2026-20602: @cloudlldb dari @pixiepointsec

Ucapan terima kasih tambahan

Bluetooth

Kami ingin mengucapkan terima kasih kepada Tommaso Sacchetti atas bantuannya.

CoreServices

Kami ingin mengucapkan terima kasih kepada YingQi Shi (@Mas0nShi) dari WeBin lab dari DBAppSecurity atas bantuannya.

CoreTypes

Kami ingin mengucapkan terima kasih kepada CodeColorist, Pedro Tôrres (@t0rr3sp3dr0) atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Joseph Ravichandran (@0xjprx) dari MIT CSAIL, Xinru Chi dari Pangu Lab atas bantuannya.

libpthread

Kami ingin mengucapkan terima kasih kepada Fabiano Anemone atas bantuannya.

Model I/O

Kami ingin mengucapkan terima kasih kepada Yiğit Can YILMAZ (@yilmazcanyigit) atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Gongyu Ma (@Mezone0) atas bantuannya.

Shortcuts

Kami ingin mengucapkan terima kasih kepada Kun Peeks (@SwayZGl1tZyyy), Robert Reichel atas bantuannya.

Transparency

Kami ingin mengucapkan terima kasih kepada Wojciech Regula dari SecuRing (wojciechregula.blog) atas bantuannya.

Wallet

Kami ingin mengucapkan terima kasih kepada Lorenzo Santina (@BigNerd95) dan Marco Bartoli (@wsxarcher) atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada David Wood, EntryHi, Luigino Camastra dari Aisle Research, Stanislav Fort dari Aisle Research, Vsevolod Kokorin (Slonser) dari Solidlab, dan Jorian Woltjer atas bantuannya.