Mengenai konten keamanan visionOS 26.5

Dokumen ini menjelaskan konten keamanan visionOS 26.5.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

visionOS 26.5

Accelerate

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-28988: Asaf Cohen

APFS

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-28959: Dave G.

App Intents

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App berbahaya mungkin dapat keluar dari sandbox

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) untuk Reverse Society

AppleJPEG

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2026-1837

AppleJPEG

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses file media perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau kerusakan memori proses

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-28956: impost0r (ret2plt)

Audio

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses streaming audio di file media perusak yang berbahaya dapat mengakhiri prosesnya

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-39869: David Ige dari Beryllium Security

CoreAnimation

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg dari Nosebeard Labs

CoreSymbolication

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Menguraikan file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-28918: Niels Hofmans, Anonim yang bekerja sama dengan Zero Day Initiative dari TrendAI

FileProvider

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2026-43659: Alex Radocea

ImageIO

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-28977: Suresh Sundaram

ImageIO

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses gambar perusak yang berbahaya dapat merusak memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang mungkin dapat mengakibatkan app berhenti secara tiba-tiba

Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengungkapkan memori kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Kelebihan buffer telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong dan Pan Zhenpeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-28972: Billy Jheng Bing Jhong dan Pan Zhenpeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

LaunchServices

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang di jaringan lokal mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses gambar perusak yang berbahaya dapat merusak memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-28940: Michael DePlante (@izobashi) dari Zero Day Initiative dari TrendAI

Networking

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang mungkin dapat melacak pengguna melalui alamat IP mereka

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2026-28906: Ilya Sc. Jowell A.

SceneKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan app berhenti secara tiba-tiba

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-28846: Peter Malone

Shortcuts

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan menambahkan permintaan tambahan untuk izin pengguna.

CVE-2026-28993: Doron Assness

Spotlight

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan untuk mencegah tindakan tidak sah.

CVE-2026-28974: Andy Koo (@andykoo) dari Hexens

Status Bar

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengambil gambar layar pengguna

Deskripsi: Masalah dengan akses app ke metadata kamera telah diatasi dengan logika yang ditingkatkan.

CVE-2026-28957: Adriatik Raci

Storage

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2026-28996: Alex Radocea

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.

CVE-2026-43660: Cantina

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-28907: Cantina

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengungkap informasi rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pembatasan akses yang ditingkatkan.

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan Safari berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-43658: Do Young Park

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu, dan Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Anonim yang bekerja sama dengan Zero Day Initiative dari TrendAI, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac dan Kookhwan Lee yang bekerja sama dengan Zero Day Initiative dari TrendAI

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) dari Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Tim riset keamanan ofensif Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern, dan Guido Vranken), Maher Azzouzi, Ngan Nguyen dari Calif.io

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.

CVE-2026-28958: Cantina

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Iframe berbahaya dapat menggunakan pengaturan unduhan situs web lain.

Deskripsi: Masalah ini telah diatasi dengan penanganan UI yang ditingkatkan.

CVE-2026-28971: Khiem Tran

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan Safari berhenti secara tiba-tiba

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2026-28942: Milad Nasr dan Nicholas Carlini bersama Claude, Anthropic

CVE-2026-28947: dr3dd

WebKit

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-28917: Vitaly Simonovich

WebRTC

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-28944: Kenneth Hsu dari Palo Alto Networks, Jérôme DJOUDER, dr3dd

zlib

Tersedia untuk: Apple Vision Pro (semua model)

Dampak: Mengunjungi halaman web perusak yang berbahaya dapat membocorkan data yang sensitif

Deskripsi: Kebocoran informasi telah diatasi dengan validasi tambahan.

CVE-2026-28920: Brendon Tiszka dari Google Project Zero

Ucapan terima kasih tambahan

App Intents

Kami ingin mengucapkan terima kasih kepada Mikael Kinnman atas bantuannya.

Apple Account

Kami ingin mengucapkan terima kasih kepada Iván Savransky, YingQi Shi (@Mas0nShi) dari WeBin lab dari DBAppSecurity atas bantuannya.

AuthKit

Kami ingin mengucapkan terima kasih kepada Gongyu Ma (@Mezone0) atas bantuannya.

CoreUI

Kami ingin mengucapkan terima kasih kepada Mustafa Calap atas bantuannya.

ICU

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Ryan Hileman via Xint Code (xint.io), peneliti anonim atas bantuannya.

libnetcore

Kami ingin mengucapkan terima kasih kepada Chris Staite dan David Hardy dari Menlo Security Inc atas bantuannya.

Libnotify

Kami ingin berterima kasih kepada Ilias Morad (@A2nkF_) atas bantuannya.

Location

Kami ingin mengucapkan terima kasih kepada Kun Peeks (@SwayZGl1tZyyy) atas bantuannya.

Mail

Kami ingin mengucapkan terima kasih kepada Himanshu Bharti (@Xpl0itme) dari Khatima atas bantuannya.

mDNSResponder

Kami ingin mengucapkan terima kasih kepada Jason Grove atas bantuannya.

Notes

Kami ingin mengucapkan terima kasih kepada Asilbek Salimov atas bantuannya.

Siri

Kami ingin mengucapkan terima kasih kepada Yoav Magid atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich atas bantuannya.

WebRTC

Kami ingin mengucapkan terima kasih kepada Hyeonji Son (@jir4vv1t) dari Demon Team atas bantuannya.