Mengenai konten keamanan visionOS 26.3

Dokumen ini menjelaskan konten keamanan visionOS 26.3.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

visionOS 26.3

AppleMobileFileIntegrity

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.

CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)

Bluetooth

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat melakukan serangan DoS (denial-of-service) menggunakan paket Bluetooth perusak

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-20650: jioundai

CFNetwork

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Pengguna jarak jauh mungkin dapat menulis file arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses file media perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau kerusakan memori proses

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20611: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro

CoreMedia

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses file perusak yang berbahaya dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) dari Iru

CoreServices

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2026-20615: Csaba Fitzl (@theevilbit) dari Iru dan Gergely Kalman (@gergely_kalman)

CoreServices

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah muncul saat menangani variabel lingkungan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-20627: peneliti anonim

dyld

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang dengan kemampuan menulis memori mungkin dapat mengeksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi dalam serangan yang amat sangat kompleks terhadap sejumlah individu spesifik yang ditarget pada versi-versi iOS sebelum iOS 26. CVE-2025-14174 dan CVE-2025-43529 juga dirilis sehubungan dengan laporan ini.

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20700: Google Threat Analysis Group

ImageIO

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20675: George Karchemsky (@gkarchemsky) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20634: George Karchemsky (@gkarchemsky) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App yang berbahaya dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20626: Keisuke Hosoda

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas jaringan

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2025-59375

Messages

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Pintasan mungkin dapat melewati pembatasan sandbox

Deskripsi: Kondisi pacu telah diatasi dengan penanganan tautan simbolis yang ditingkatkan.

CVE-2026-20677: Ron Masas dari BreakPoint.SH

Model I/O

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20616: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

Sandbox

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-20628: Noah Gregory (wts.dev)

Shortcuts

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.

CVE-2026-20653: Enis Maholli (enismaholli.com)

StoreKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengidentifikasi app lain yang telah diinstal pengguna

Deskripsi: Masalah privasi telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2026-20608: HanQing dari TSDubhe dan Nan Wang (@eternalsakura13)

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Situs web mungkin dapat melacak pengguna melalui ekstensi web Safari

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2026-20676: Tom Van Goethem

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20644: HanQing dari TSDubhe dan Nan Wang (@eternalsakura13)

CVE-2026-20636: EntryHi

CVE-2026-20635: EntryHi

Wi-Fi

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20621: Wang Yu dari Cyberserval

Ucapan terima kasih tambahan

Bluetooth

Kami ingin mengucapkan terima kasih kepada Tommaso Sacchetti atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Joseph Ravichandran (@0xjprx) dari MIT CSAIL, Xinru Chi dari Pangu Lab atas bantuannya.

libpthread

Kami ingin mengucapkan terima kasih kepada Fabiano Anemone atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Gongyu Ma (@Mezone0) atas bantuannya.

Shortcuts

Kami ingin mengucapkan terima kasih kepada Robert Reichel atas bantuannya.

Transparency

Kami ingin mengucapkan terima kasih kepada Wojciech Regula dari SecuRing (wojciechregula.blog) atas bantuannya.

Wallet

Kami ingin mengucapkan terima kasih kepada Lorenzo Santina (@BigNerd95) dan Marco Bartoli (@wsxarcher) atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada David Wood, EntryHi, Luigino Camastra dari Aisle Research, Stanislav Fort dari Aisle Research, Vsevolod Kokorin (Slonser) dari Solidlab, dan Jorian Woltjer atas bantuannya.