visionOS 26.5'in güvenlik içeriği hakkında

Bu belgede visionOS 26.5'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 26.5

Accelerate

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlatabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2026-28988: Asaf Cohen

APFS

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2026-28959: Dave G.

App Intents

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2026-28995: Reverse Society adına Vamshi Paili, Tony Gorez (@tonygo_)

AppleJPEG

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2026-1837

AppleJPEG

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir medya dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin bozulmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2026-28956: impost0r (ret2plt)

Audio

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü niyetle hazırlanmış bir medya dosyasındaki ses akışının işlenmesi, işlemin sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-39869: Beryllium Security'den David Ige

CoreAnimation

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2026-28936: Nosebeard Labs'den Andreas Jaegersberger ve Ro Achterberg

CoreSymbolication

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçla hazırlanan bir dosyanın ayrıştırılması, bir uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2026-28918: Niels Hofmans, TrendAI Zero Day Initiative ile çalışan anonim bir araştırmacı

FileProvider

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2026-43659: Alex Radocea

ImageIO

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2026-28977: Suresh Sundaram

ImageIO

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğini bozabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Saldırgan, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek arabellek taşması sorunu giderildi.

CVE-2026-28897: popku1337, STAR Labs SG Pte. Ltd. şirketinden Billy Jheng Bing Jhong ve Pan Zhenpeng (@Peterpan0927), Robert Tran, Aswin kumar Gokulakannan

Kernel

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2026-28972: STAR Labs SG Pte.Ltd. Şirketinden Billy Jheng Bing Jhong ve Pan Zhenpeng (@Peterpan0927), Xint Code'dan Ryan Hileman (xint.io)

LaunchServices

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Yerel ağdaki bir saldırgan, hizmet reddine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğini bozabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-28940: TrendAI Zero Day Initiative'den Michael DePlante (@izobashi)

Networking

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir saldırgan, kullanıcıları IP adresleri aracılığıyla izleyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2026-28906: Ilya Sc. Jowell A.

SceneKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2026-28846: Peter Malone

Shortcuts

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Bu sorun, kullanıcı izni için ek istem eklenerek giderildi.

CVE-2026-28993: Doron Assness

Spotlight

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.

CVE-2026-28974: Hexens'den Andy Koo (@andykoo)

Status Bar

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama kullanıcının ekranın görüntüsünü alabilir

Açıklama: Uygulamaların kamera meta verilerine erişimiyle ilgili bir sorun, mantık iyileştirilerek giderildi.

CVE-2026-28957: Adriatik Raci

Storage

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2026-28996: Alex Radocea

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2026-43660: Cantina

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sorun giderildi.

CVE-2026-28907: Cantina

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, hassas kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-43658: Do Young Park

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu ve Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), TrendAI Zero Day Initiative ile çalışan anonim bir araştırmacı, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: TrendAI Zero Day Initiative ile çalışan wac ve Kookhwan Lee

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Talence Security'den Tristan Madani (@TristanInSec), Nathaniel Oh (@calysteon)

CVE-2026-28901: Aisle ofansif güvenlik araştırma ekibi (Joshua Rogers, Luigino Camastra, Igor Morgenstern ve Guido Vranken), Maher Azzouzi, Calif.io'dan Ngan Nguyen

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2026-28958: Cantina

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki :kötü amaçlı bir iframe başka bir web sitesinin indirme ayarlarını kullanabilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-28971: Khiem Tran

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2026-28942: Milad Nasr ve Claude ile Nicholas Carlini, Anthropic

CVE-2026-28947: dr3dd

WebKit

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sorun giderildi.

CVE-2026-28917: Vitaly Simonovich

WebRTC

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-28944: Palo Alto Networks'den Kenneth Hsu, Jérôme DJOUDER, dr3dd

zlib

İlgili ürün: Apple Vision Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek hassas bilgilerin sızdırılmasına yol açabilir

Açıklama: Ek doğrulama işlemi ile bilgi sızıntısı giderildi.

CVE-2026-28920: Google Project Zero'dan Brendon Tiszka

Ek teşekkür listesi

App Intents

Yardımları için Mikael Kinnman'a teşekkür ederiz.

Apple Account

Yardımları için Iván Savransky, DBAppSecurity's WeBin lab'den YingQi Shi'ye (@Mas0nShi) teşekkür ederiz.

AuthKit

Yardımları için Gongyu Ma'ya (@Mezone0) teşekkür ederiz.

CoreUI

Yardımı için Mustafa Calap'a teşekkür ederiz.

ICU

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Kernel

Xint Code'dan (xint.io) Ryan Hileman, anonim bir araştırmacıya yardımı için teşekkür ederiz

libnetcore

Menlo Security Inc'den Chris Staite ve David Hardy'ye yardımları için teşekkür ederiz.

Libnotify

Yardımları için Ilias Morad'a (@A2nkF_) teşekkür ederiz.

Location

Yardımları için Kun Peeks'e (@SwayZGl1tZyyy) teşekkür ederiz.

Mail

Yardımı için Khatima'dan Himanshu Bharti'ye (@Xpl0itme) teşekkür ederiz.

mDNSResponder

Yardımları için Jason Grove'a teşekkür ederiz.

Notes

Yardımları için Asilbek Salimov'a teşekkür ederiz.

Siri

Yardımları için Yoav Magid'e teşekkür ederiz.

WebKit

Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera ve Vitaly Simonovich'e yardımları için teşekkür ederiz.

WebRTC

Demon Team'den Hyeonji Son'a (@jir4vv1t) yardımı için teşekkür ederiz.