Mengenai konten keamanan visionOS 26.4

Dokumen ini menjelaskan konten keamanan visionOS 26.4.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

visionOS 26.4

802.1X

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas jaringan

Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2026-28865: Héloïse Gollier dan Mathy Vanhoef (KU Leuven)

Accounts

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-28877: Rosyna Keller dari Totally Not Malicious Software

Audio

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2026-28879: Justin Cohen dari Google

Audio

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang mungkin dapat mengakibatkan app berhenti secara tiba-tiba

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-28822: Jex Amro

CoreMedia

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses streaming audio di file media berbahaya dapat menghentikan prosesnya

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20690: Hossein Lotfi (@hosselot) dari Zero Day Initiative Trend Micro

CoreUtils

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Pengguna di posisi jaringan yang memiliki hak istimewa mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah dereferensi penunjuk null telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-28886: Etienne Charron (Renault) dan Victoria Martini (Renault)

Crash Reporter

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App tertentu mungkin dapat menghitung app yang diinstal pengguna

Deskripsi: Masalah privasi telah diatasi dengan menghapus data sensitif.

CVE-2026-28878: Zhongcheng Li dari IES Red Team

curl

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Terdapat masalah di curl yang dapat menyebabkan pengiriman informasi sensitif yang tidak disengaja melalui koneksi yang salah

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2025-14524

DeviceLink

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.

CVE-2026-28876: Andreas Jaegersberger & Ro Achterberg dari Nosebeard Labs

GeoServices

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Kebocoran informasi telah diatasi dengan validasi tambahan.

CVE-2026-28870: XiguaSec

iCloud

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App tertentu mungkin dapat menghitung app yang diinstal pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-28880: Zhongcheng Li dari IES Red Team

CVE-2026-28833: Zhongcheng Li dari IES Red Team

ImageIO

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2025-64505

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengungkapkan memori kernel

Deskripsi: Masalah pencatatan telah diatasi dengan penyamaran data yang ditingkatkan.

CVE-2026-28868: 이동하 (Lee Dong Ha dari BoB 0xB6)

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App dapat membocorkan status kernel yang bersifat rahasia

Deskripsi: Masalah ini telah diatasi dengan autentikasi yang ditingkatkan.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App tertentu mungkin dapat menghitung app yang diinstal pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-28882: Ilias Morad (A2nkF) dari Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Printing

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2026-20688: wdszzml dan Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengambil sidik jari pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang lokal dapat memperoleh akses ke item Rantai Kunci milik pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin yang lebih baik.

CVE-2026-28864: Alex Radocea

Siri

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah telah diatasi dengan autentikasi yang ditingkatkan.

CVE-2026-28856: peneliti anonim

UIFoundation

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Tumpukan kelebihan telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-28852: Caspian Tarafdar

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2026-20665: webb

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat melewati Kebijakan Same Policy

Deskripsi: Masalah lintas sumber di API Navigasi telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-20643: Thomas Espach

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Situs web yang berbahaya mungkin dapat mengakses penangan pesan skrip (script message handler) yang ditujukan untuk asal lain

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-28861: Hongze Wu dan Shuaike Dong dari Ant Group Infrastructure Security Team

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Situs web yang berbahaya mungkin dapat memproses konten web yang dibatasi di luar sandbox

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Halaman web perusak yang berbahaya mungkin dapat mengidentifikasi pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ucapan terima kasih tambahan

AirPort

Kami ingin mengucapkan terima kasih kepada Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii atas bantuan mereka.

Bluetooth

Kami ingin mengucapkan terima kasih kepada Hamid Mahmoud atas bantuannya.

Captive Network

Kami ingin mengucapkan terima kasih kepada Kun Peeks (@SwayZGl1tZyyy) atas bantuannya.

CipherML

Kami ingin mengucapkan terima kasih kepada Nils Hanff (@nils1729@chaos.social) dari Hasso Plattner Institute atas bantuannya.

CloudAttestation

Kami ingin mengucapkan terima kasih kepada Suresh Sundaram, Willard Jansen atas bantuan mereka.

CoreUI

Kami ingin mengucapkan terima kasih kepada Peter Malone atas bantuannya.

Find My

Kami ingin mengucapkan terima kasih kepada Salemdomain atas bantuannya.

GPU Drivers

Kami ingin mengucapkan terima kasih kepada Jian Lee (@speedyfriend433) atas bantuannya.

ICU

Kami ingin mengucapkan terima kasih kepada Jian Lee (@speedyfriend433) atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville dari Fuzzinglabs, Patrick Ventuzelo dari Fuzzinglabs, Robert Tran, Suresh Sundaram atas bantuan mereka.

libarchive

Kami ingin mengucapkan terima kasih kepada Andreas Jaegersberger & Ro Achterberg dari Nosebeard Labs, Arni Hardarson atas bantuan mereka.

libc

Kami ingin mengucapkan terima kasih kepada Vitaly Simonovich atas bantuannya.

Libnotify

Kami ingin mengucapkan terima kasih kepada Ilias Morad (@A2nkF_) atas bantuannya.

LLVM

Kami ingin mengucapkan terima kasih kepada Nathaniel Oh (@calysteon) atas bantuannya.

Messages

Kami ingin mengucapkan terima kasih kepada JZ atas bantuannya.

MobileInstallation

Kami ingin mengucapkan terima kasih kepada Gongyu Ma (@Mezone0) atas bantuannya.

Music

Kami ingin mengucapkan terima kasih kepada Mohammad Kaif (@_mkahmad | kaif0x01) atas bantuannya.

Notes

Kami ingin mengucapkan terima kasih kepada Dawuge dari Shuffle Team dan Hunan University atas bantuan mereka.

ppp

Kami ingin mengucapkan terima kasih kepada Dave G. atas bantuannya.

Quick Look

Kami ingin mengucapkan terima kasih kepada Wojciech Regula dari SecuRing (wojciechregula.blog), seorang peneliti anonim, atas bantuannya.

Safari

Kami ingin mengucapkan terima kasih kepada @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair atas bantuan mereka.

Shortcuts

Kami ingin mengucapkan terima kasih kepada Waleed Barakat (@WilDN00B) dan Paul Montgomery (@nullevent) atas bantuan mereka.

Siri

Kami ingin mengucapkan terima kasih kepada Anand Mallaya, Konsultan teknologi, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar dari Self-Employed atas bantuan mereka.

Time Zone

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Safran Mumbai India atas bantuannya.

UIKit

Kami ingin mengucapkan terima kasih kepada AEC, Abhay Kailasia (@abhay_kailasia) dari Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departemen Angkatan Laut AS), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp atas bantuan mereka.

Wallet

Kami ingin mengucapkan terima kasih kepada Zhongcheng Li dari IES Red Team di ByteDance atas bantuannya.

Web Extensions

Kami ingin mengucapkan terima kasih kepada Carlos Jeurissen, Rob Wu (robwu.nl) atas bantuan mereka.

WebKit

Kami ingin mengucapkan terima kasih kepada Vamshi Paili atas bantuannya.

WebKit Process Model

Kami ingin mengucapkan terima kasih kepada Joseph Semaan atas bantuannya.

Wi-Fi

Kami ingin mengucapkan terima kasih kepada Kun Peeks (@SwayZGl1tZyyy), seorang peneliti anonim, atas bantuannya.

Wi-Fi Connectivity

Kami ingin mengucapkan terima kasih kepada Alex Radocea dari Supernetworks, Inc atas bantuannya.

Widgets

Kami ingin mengucapkan terima kasih kepada Marcel Voß, Mitul Pranjay, Serok Çelik atas bantuan mereka.