Acerca del contenido de seguridad de iOS 26.4 y iPadOS 26.4

En este documento se describe el contenido de seguridad de iOS 26.4 y iPadOS 26.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 26.4 y iPadOS 26.4

Disponible el 24 de marzo de 2026

802.1X

Disponible para: iPhone 11 y modelos posteriores, iPad Pro de 12,9 pulgadas (3.ª generación y modelos posteriores), iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (8.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: un atacante con una posición de red privilegiada podría ser capaz de interceptar el tráfico de red

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2026-28865: Héloïse Gollier y Mathy Vanhoef (KU Leuven)

Accounts

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2026-28877: Rosyna Keller de Totally Not Malicious Software

App Protection

Disponible para: iPhone 11 y modelos posteriores

Impacto: un atacante con acceso físico a un dispositivo iOS con la Protección en caso de robo activada podría acceder a las apps protegidas por datos biométricos mediante el código de acceso

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2026-28895: Zack Tickman

Audio

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28879: Justin Cohen de Google

Audio

Impacto: un atacante podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2026-28822: Jex Amro

Baseband

Impacto: un atacante remoto podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang y Yongdae Kim @ SysSec, KAIST

Baseband

Disponible para: iPhone 16e

Impacto: un atacante remoto podría ser capaz de provocar una denegación del servicio

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2026-28875: Tuan D. Hoang y Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Impacto: un atacante remoto podría ser capaz de provocar una denegación del servicio

Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la validación de las entradas.

CVE-2026-28894: un investigador anónimo

Clipboard

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Impacto: el procesamiento de un flujo de audio en un archivo multimedia creado con fines malintencionados puede cerrar el proceso

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2026-20690: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreUtils

Impacto: un usuario que se encontrase en una posición de red privilegiada podría causar una denegación de servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2026-28886: Etienne Charron (Renault) y Victoria Martini (Renault)

Crash Reporter

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2026-28878: Zhongcheng Li de IES Red Team

curl

Impacto: existía un problema en curl que podría provocar el envío involuntario de información confidencial a través de una conexión incorrecta

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-14524

DeviceLink

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de análisis en la gestión de las rutas de los directorios mejorando la validación de las rutas.

CVE-2026-28876: Andreas Jaegersberger & Ro Achterberg de Nosebeard Labs

GeoServices

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se solucionó una filtración de información mediante una validación adicional.

CVE-2026-28870: XiguaSec

iCloud

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2026-28880: Zhongcheng Li de IES Red Team

CVE-2026-28833: Zhongcheng Li de IES Red Team

ImageIO

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

CVE-2025-64505

Kernel

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2026-28868: 이동하 (Lee Dong Ha de BoB 0xB6)

Kernel

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: el problema se ha solucionado mejorando la autenticación.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2026-28882: Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Impacto: es posible que «Ocultar dirección IP» y «Bloquear todo el contenido remoto» no se apliquen a todo el contenido del correo

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de las preferencias del usuario.

CVE-2026-20692: Andreas Jaegersberger & Ro Achterberg de Nosebeard Labs

Printing

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2026-20688: wdszzml y Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Impacto: un atacante local podría obtener acceso a los ítems del llavero de un usuario.

Descripción: se ha solucionado el problema mejorando la comprobación de los permisos.

CVE-2026-28864: Alex Radocea

Siri

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: el problema se ha solucionado mejorando la autenticación.

CVE-2026-28856: un investigador anónimo

Telephony

Impacto: un usuario remoto puede provocar el cierre inesperado del sistema o dañar la memoria del kernel.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2026-28858: Hazem Issa y Yongdae Kim @ SysSec, KAIST

UIFoundation

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: se ha solucionado un desbordamiento de pila mejorando la validación de entrada.

CVE-2026-28852: Caspian Tarafdar

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría omitir la política de mismo origen.

Descripción: se ha solucionado un problema entre orígenes en la API Navigation mejorando la validación de las entradas.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Impacto: visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcís Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Impacto: un sitio web malicioso podría acceder a los controladores de mensajes de script destinados a otros orígenes

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu y Shuaike Dong de Ant Group Infrastructure Security Team

WebKit

Impacto: un sitio web malicioso podría procesar contenido web restringido fuera de la zona protegida

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Otros agradecimientos

Accessibility

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India y Jacob Prezant (prezant.us) por su ayuda.

AirPort

Queremos dar las gracias a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari y Omid Rezaii por su ayuda.

App Protection

Queremos dar las gracias a Andr.Ess por su ayuda.

Bluetooth

Queremos dar las gracias a Hamid Mahmoud por su ayuda.

Captive Network

Nos gustaría agradecer a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.

CipherML

Queremos dar las gracias a Nils Hanff (@nils1729@chaos.social) de Hasso Plattner Institute por su ayuda.

CloudAttestation

Queremos dar las gracias a Suresh Sundaram y Willard Jansen por su ayuda.

CoreUI

Queremos dar las gracias a Peter Malone por su ayuda.

Find My

Queremos dar las gracias a Salemdomain por su ayuda.

GPU Drivers

Queremos dar las gracias a Jian Lee (@speedyfriend433) por su ayuda.

ICU

Queremos dar las gracias a Jian Lee (@speedyfriend433) por su ayuda.

Kernel

Queremos dar las gracias a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville de Fuzzinglabs, Patrick Ventuzelo de Fuzzinglabs, Robert Tran y Suresh Sundaram por su ayuda.

libarchive

Queremos dar las gracias a Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs y Arni Hardarson por su ayuda.

libc

Queremos dar las gracias a Vitaly Simonovich por su ayuda.

Libnotify

Queremos dar las gracias a Ilias Morad (@A2nkF_) por su ayuda.

LLVM

Queremos dar las gracias a Nathaniel Oh (@calysteon) por su ayuda.

mDNSResponder

Queremos dar las gracias a William Mather por su ayuda.

Messages

Queremos dar las gracias a JZ por su ayuda.

MobileInstallation

Queremos dar las gracias a Gongyu Ma (@Mezone0) por su ayuda.

Music

Queremos dar las gracias a Mohammad Kaif (@_mkahmad | kaif0x01) por su ayuda.

NetworkExtension

Queremos dar las gracias a Jianfeng Chen from yq12260 de Intretech por su ayuda.

Notes

Queremos dar las gracias a Dawuge of Shuffle Team y Hunan University por su ayuda.

Notifications

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

ppp

Queremos dar las gracias a Dave G. por su ayuda.

Quick Look

Queremos dar las gracias a Wojciech Regula de SecuRing (wojciechregula.blog) y a un investigador anónimo por su ayuda.

Safari

Queremos dar las gracias a @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad y Yair por su ayuda.

Safari Private Browsing

Queremos dar las gracias a Jaime Gallego Matud por su ayuda.

Shortcuts

Queremos dar las gracias a Waleed Barakat (@WilDN00B) y Paul Montgomery (@nullevent) por su ayuda.

Siri

Queremos dar las gracias a Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia y Hrishikesh Parmar de Self-Employed por su ayuda.

Spotlight

Queremos dar las gracias a Bilge Kaan Mızrak, Claude y amigos: Risk Analytics Research Group y Zack Tickman por su ayuda.

Status Bar

Queremos dar las gracias a Sahel Alemi por su ayuda.

Telephony

Queremos dar las gracias a Xue Zhang y Yi Chen por su ayuda.

Time Zone

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India por su ayuda.

UIKit

Queremos dar las gracias a AEC, Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 e incredincomp por su ayuda.

Wallet

Queremos dar las gracias a Zhongcheng Li de IES Red Team of ByteDance por su ayuda.

Web Extensions

Queremos dar las gracias a Carlos Jeurissen y Rob Wu (robwu.nl) por su ayuda.

WebKit

Queremos dar las gracias a Vamshi Paili, greenbynox y a un investigador anónimo por su ayuda.

WebKit Process Model

Queremos dar las gracias a Joseph Semaan por su ayuda.

Wi-Fi

Queremos dar las gracias a Kun Peeks (@SwayZGl1tZyyy) y a un investigador anónimo por su ayuda.

Wi-Fi Connectivity

Queremos dar las gracias a Alex Radocea de Supernetworks, Inc por su ayuda.

Widgets

Queremos dar las gracias a Marcel Voß, Mitul Pranjay y Serok Çelik por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Data de publicació: d’abril 01, 2026