visionOS 26.3'ün güvenlik içeriği hakkında

Bu belgede visionOS 26.3'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 26.3

AppleMobileFileIntegrity

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)

Bluetooth

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, oluşturulan Bluetooth paketlerini kullanarak servis reddi saldırısı gerçekleştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2026-20650: jioundai

CFNetwork

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Uzaktaki bir kullanıcı rastgele dosyalara yazabilir

Açıklama: Mantık işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2026-20660: Amy (amys.website)

CoreAudio

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir medya dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin bozulmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2026-20611: Trend Micro Zero Day Initiative'den anonim bir araştırmacı

CoreMedia

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçla geliştirilmiş bir dosyasının işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Iru'dan Csaba Fitzl (@theevilbit)

CoreServices

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2026-20615: Iru'dan Csaba Fitzl (@theevilbit) ve Gergely Kalman (@gergely_kalman)

CoreServices

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ortam değişkenlerinin işlenmesiyle ilgili bir sorun vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2026-20627: Anonim bir araştırmacı

dyld

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bellek yazma kabiliyetine sahip bir saldırgan rastgele kod yürütebilir. Apple, bu sorunun iOS 26'dan önceki iOS sürümlerinde belirli hedefli kişilere yönelik son derece karmaşık bir saldırıda kullanılmış olabileceğine dair rapordan haberdardır. CVE-2025-14174 ve CVE-2025-43529 da bu rapora yanıt olarak düzenlenmiştir.

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2026-20700: Google Tehdit Analiz Grubu

ImageIO

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2026-20675: Trend Micro Zero Day Initiative'den George Karchemsky (@gkarchemsky)

ImageIO

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20634: Trend Micro Zero Day Initiative'den George Karchemsky (@gkarchemsky)

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıkları kazanabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2026-20626: Keisuke Hosoda

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, ağ trafiğini ele geçirebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi servis reddine yol açabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2025-59375

Messages

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir kestirme, korumalı alan sınırlamalarını atlatabilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek yarış durumu giderildi.

CVE-2026-20677: BreakPoint.SH'ten Ron Masas

Model I/O

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2026-20616: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

Sandbox

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2026-20628: Noah Gregory (wts.dev)

Shortcuts

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2026-20653: Enis Maholli (enismaholli.com)

StoreKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, kullanıcının yüklediği diğer uygulamaları belirleyebilir

Açıklama: Denetimler iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2026-20608: TSDubhe'den HanQing ve Nan Wang (@eternalsakura13)

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir web sitesi, Safari web genişletmeleri yoluyla kullanıcıları takip edebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2026-20676: Tom Van Goethem

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20644: TSDubhe'den HanQing ve Nan Wang (@eternalsakura13)

CVE-2026-20636: EntryHi

CVE-2026-20635: EntryHi

Wi-Fi

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek belleğin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20621: Cyberserval'dan Wang Yu

Ek teşekkür listesi

Bluetooth

Tommaso Sacchetti'ye yardımı için teşekkür ederiz.

Kernel

MIT CSAIL'den Joseph Ravichandran (@0xjprx) ve Pangu Lab'den Xinru Chi'ye yardımları için teşekkür ederiz.

libpthread

Fabiano Anemone'ye yardımı için teşekkür ederiz.

NetworkExtension

Gongyu Ma'ya (@Mezone0) yardımı için teşekkür ederiz.

Shortcuts

Robert Reichel'a yardımı için teşekkür ederiz.

Transparency

Yardımı için SecuRing'den Wojciech Regula'ya (wojciechregula.blog) teşekkür ederiz.

Wallet

Lorenzo Santina (@BigNerd95) ve Marco Bartoli'ye (@wsxarcher) yardımları için teşekkür ederiz.

WebKit

David Wood, EntryHi, Aisle Research'ten Luigino Camastra, Aisle Research'ten Stanislav Fort, Solidlab'den Vsevolod Kokorin (Slonser) ve Jorian Woltjer'e yardımları için teşekkür ederiz.