visionOS 26.4'ün güvenlik içeriği hakkında

Bu belgede visionOS 26.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 26.4

802.1X

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, ağ trafiğini ele geçirebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2026-28865: Héloïse Gollier ve Mathy Vanhoef (KU Leuven)

Accounts

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2026-28877: Totally Not Malicious Software'den Rosyna Keller

Audio

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2026-28879: Google'dan Justin Cohen

Audio

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Saldırgan, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2026-28822: Jex Amro

CoreMedia

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü niyetle hazırlanmış bir medya dosyasındaki ses akışının işlenmesi, işlemin sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2026-20690: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreUtils

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Ayrıcalıklı ağ konumundaki bir kullanıcı, servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir null işaretçi başvurusu sorunu giderildi.

CVE-2026-28886: Etienne Charron (Renault) ve Victoria Martini (Renault)

Crash Reporter

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, kullanıcının yüklü uygulamalarını listeleyebilir

Açıklama: Hassas veriler kaldırılarak bir gizlilik sorunu giderildi.

CVE-2026-28878: IES Red Team'den Zhongcheng Li

curl

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: curl'de oluşan bir sorun, doğru olmayan bir bağlantı aracılığıyla hassas bilgilerin istenmeyen şekilde gönderilmesine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2025-14524

DeviceLink

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2026-28876: Nosebeard Labs'den Andreas Jaegersberger ve Ro Achterberg

GeoServices

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama işlemi ile bilgi sızıntısı giderildi.

CVE-2026-28870: XiguaSec

iCloud

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, kullanıcının yüklü uygulamalarını listeleyebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2026-28880: IES Red Team'den Zhongcheng Li

CVE-2026-28833: IES Red Team'den Zhongcheng Li

ImageIO

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2025-64505

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Bir günlük kaydı sorunu, veri düzenleme işlemi iyileştirilerek giderildi

CVE-2026-28868: 이동하 (BoB 0xB6'dan Lee Dong Ha)

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas çekirdek durumunu sızdırabilir

Açıklama: Kimlik doğrulama iyileştirilerek bu sorun giderildi.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek belleğin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, kullanıcının yüklü uygulamalarını listeleyebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2026-28882: Voynich Group'tan Ilias Morad (A2nkF), Duy Trần (@khanhduytran0), @hugeBlack

Printing

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2026-20688: wdszzml ve Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Yerel bir saldırgan, kullanıcının Anahtar Zinciri öğelerine erişebilir

Açıklama: İzin kontrolü iyileştirilerek bu sorun giderildi.

CVE-2026-28864: Alex Radocea

Siri

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kilitli aygıta fiziksel erişimi olan bir saldırgan, kullanıcıların hassas bilgilerini görebilir

Açıklama: Kimlik doğrulama işlemi iyileştirilerek sorun giderildi.

CVE-2026-28856: anonim bir araştırmacı

UIFoundation

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek yığın taşması sorunu giderildi.

CVE-2026-28852: Caspian Tarafdar

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2026-20665: webb

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, Aynı Kaynak Politikası'nın atlanmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek Navigation API'deki kaynaklar arası veri sızdırma sorunu giderildi.

CVE-2026-20643: Thomas Espach

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlı bir web sitesi, başka kaynaklar için amaçlanmış betik iletisi işleyicilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2026-28861: Ant Group Infrastructure Security Team ekibinden Hongze Wu ve Shuaike Dong

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlı bir web sitesi korumalı alanın dışında sınırlandırılmış web içeriğinin işlenmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ek teşekkür listesi

AirPort

Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari ve Omid Rezaii'ye yardımları için teşekkür ederiz.

Bluetooth

Hamid Mahmoud'a yardımı için teşekkür ederiz.

Captive Network

Kun Peeks'e (@SwayZGl1tZyyy) yardımı için teşekkür ederiz.

CipherML

Hasso Plattner Enstitüsünden Nils Hanff'a (@nils1729@chaos.social) yardımı için teşekkür ederiz.

CloudAttestation

Suresh Sundaram ve Willard Jansen'e yardımları teşekkür ederiz.

CoreUI

Peter Malone'a yardımı için teşekkür ederiz.

Find My

Salemdomain'e yardımı için teşekkür ederiz.

GPU Drivers

Jian Lee'ye (@speedyfriend433) yardımı için teşekkür ederiz.

ICU

Jian Lee'ye (@speedyfriend433) yardımı için teşekkür ederiz.

Kernel

DARKNAVY (@DarkNavyOrg), Fuzzinglabs'den Kylian Boulard De Pouqueville, Fuzzinglabs'den Patrick Ventuzelo, Robert Tran ve Suresh Sundaram'a yardımları için teşekkür ederiz.

libarchive

Nosebeard Labs'den Andreas Jaegersberger ve Ro Achterberg'e, ayrıca Arni Hardarson'a yardımları için teşekkür ederiz.

libc

Vitaly Simonovich'e yardımı için teşekkür ederiz.

Libnotify

Ilias Morad'a (@A2nkF_) yardımı için teşekkür ederiz.

LLVM

Nathaniel Oh'a (@calysteon) yardımı için teşekkür ederiz.

Messages

JZ'ye yardımı için teşekkür ederiz.

MobileInstallation

Gongyu Ma'ya (@Mezone0) yardımı için teşekkür ederiz.

Music

Mohammad Kaif'e (@_mkahmad | kaif0x01) yardımı için teşekkür ederiz.

Notes

Shuffle Team ve Hunan Üniversitesinden Dawuge'ye yardımı için teşekkür ederiz.

ppp

Yardımları için Dave G.'ye teşekkür ederiz.

Quick Look

SecuRing'den Wojciech Regula'ya (wojciechregula.blog) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Safari

@RenwaX23, Farras Givari, Syarif Muhammad Sajjad ve Yair'e yardımları için teşekkür ederiz.

Shortcuts

Waleed Barakat (@WilDN00B) ve Paul Montgomery'ye (@nullevent) yardımları için teşekkür ederiz.

Siri

Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia ve Self-Employed'dan Hrishikesh Parmar'a yardımları için teşekkür ederiz.

Time Zone

Hindistan'daki Safran Mumbai'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

UIKit

AEC, Hindistan'daki Safran Mumbai'den Abhay Kailasia (@abhay_kailasia), Bishal Kafle (@whoisbishal.k), Carlos Luna (Amerika Birleşik Devletleri Deniz Kuvvetleri Bakanlığı), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 ve incredincomp'a yardımları için teşekkür ederiz.

Wallet

ByteDance IES Red Team'den Zhongcheng Li'ye yardımı için teşekkür ederiz.

Web Extensions

Carlos Jeurissen, Rob Wu'ya (robwu.nl) yardımları için teşekkür ederiz.

WebKit

Vamshi Paili'ye yardımı için teşekkür ederiz.

WebKit Process Model

Joseph Semaan'a yardımı için teşekkür ederiz.

Wi-Fi

Kun Peeks (@SwayZGl1tZyyy) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Wi-Fi Connectivity

Supernetworks, Inc'ten Alex Radocea'ya yardımı için teşekkür ederiz.

Widgets

Marcel Voß, Mitul Pranjay ve Serok Çelik'e yardımları için teşekkür ederiz.