Informace o bezpečnostním obsahu iOS 26.3 a iPadOS 26.3

Tento dokument popisuje bezpečnostní obsah iOS 26.3 a iPadOS 26.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 26.3 a iPadOS 26.3

Vydáno 11. února 2026

Accessibility

K dispozici pro: iPhone 11 a novější, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 8. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zobrazit citlivé informace o uživatelích.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2026-20645: Loh Boon Keat

Accessibility

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zobrazit citlivé informace o uživatelích.

Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Dopad: Útočník v privilegované síti může pomocí upravených Bluetooth paketů provést útok odmítnutím služeb.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.

CVE-2026-20650: jioundai

Call History

Dopad: Uživateli s vypnutými rozšířeními aplikace Live Caller ID mohly do rozšíření uniknout identifikující informace.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) z organizace Hasso Plattner Institute

CFNetwork

Dopad: Vzdálenému uživateli se může podařit zapsat libovolné soubory.

Popis: Problém se zpracováním cest byl vyřešen vylepšením logiky.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2026-20611: Anonymní výzkumník ve spolupráci s týmem Zero Day Initiative společnosti Trend Micro

CoreMedia

Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby nebo k potenciálnímu odhalení obsahu paměti.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) ze společnosti Iru

CoreServices

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.

CVE-2026-20615: Csaba Fitzl (@theevilbit) ze společnosti Iru a Gergely Kalman (@gergely_kalman)

CoreServices

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Existoval problém v práci s proměnnými prostředí. Problém byl vyřešen vylepšením ověřování.

CVE-2026-20627: anonymní výzkumník

dyld

Dopad: Útočníkovi s možností zápisu do paměti se může podařit spustit libovolný kód. Apple má informace o tom, že tento problém mohl být zneužit k mimořádně sofistikovanému útoku na konkrétní cílové osoby používající verze iOS starší než iOS 26. V reakci na toto ohlášení byly také vydány zprávy CVE-2025-14174 a CVE-2025-43529.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Dopad: Uživateli se může podařit zobrazit citlivé uživatelské údaje.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-20649: Asaf Cohen

ImageIO

Dopad: Zpracování škodlivého obrázku může vést k odhalení uživatelských informací.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-20675: George Karchemsky (@gkarchemsky) ve spolupráci s iniciativou Trend Micro Zero Day Initiative

ImageIO

Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-20634: George Karchemsky (@gkarchemsky) ve spolupráci s iniciativou Trend Micro Zero Day Initiative

Kernel

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Dopad: Škodlivé aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2026-20626: Keisuke Hosoda

Kernel

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit zachycovat síťový provoz.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém byl vyřešen sanitizací protokolování.

CVE-2026-20663: Zhongcheng Li z týmu IES Red Team

libexpat

Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-59375

libxpc

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2026-20667: anonymní výzkumník

Live Captions

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zobrazit citlivé informace o uživatelích.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-20655: Richard Hyunho Im (@richeeta) z týmu Route Zero Security (routezero.security)

Messages

Dopad: Zkratce se může podařit obejít omezení sandboxu.

Popis: Problém se souběhem byl vyřešen vylepšením zpracování symbolických odkazů.

CVE-2026-20677: Ron Masas ze společnosti BreakPoint.SH

Photos

Dopad: Osobě s fyzickým přístupem k iOS zařízení se může podařit dostat se ze zamčené obrazovky k fotkám.

Popis: Byl vyřešen problém s ověřováním vstupů.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Dopad: Útočníkovi se může podařit zjistit vymazané poznámky uživatele.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Dopad: Aplikaci v sandboxu se může podařit číst citlivá uživatelská data.

Popis: Problém byl vyřešen přidáním dalších omezení k viditelnosti stavů aplikací.

CVE-2026-20680: anonymní výzkumník

StoreKit

Dopad: Aplikaci se může podařit zjistit, jaké další aplikace má uživatel nainstalované.

Popis: Problém s ochranou soukromí byl vyřešen vylepšením kontrol.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2026-20606: LeminLimez

UIKit

Dopad: Útočníkovi s fyzickým přístupem k iPhonu se během zrcadlení iPhonu pomocí Macu může podařit pořídit a zobrazit snímky obrazovky s citlivými daty z iPhonu.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zobrazit citlivé informace o uživatelích.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-20661: Dalibor Milanovic

WebKit

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením správy stavů.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing z týmu TSDubhe a Nan Wang (@eternalsakura13)

WebKit

Dopad: Webové stránce se může podařit sledovat uživatele prostřednictvím webových rozšíření Safari.

Popis: Problém byl vyřešen vylepšením správy stavů.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing z týmu TSDubhe a Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-20621: Wang Yu z Cyberservalu

Další poděkování

Accessibility

Poděkování za pomoc zaslouží Himanshu Bharti (@Xpl0itme) z týmu Khatima.

Bluetooth

Poděkování za pomoc zaslouží Tommaso Sacchetti.

Contacts

Poděkování za pomoc zaslouží Atul Kishor Jaiswal.

Kernel

Poděkování za pomoc zaslouží Joseph Ravichandran (@0xjprx) z týmu MIT CSAIL a Xinru Chi z týmu Pangu Lab.

libpthread

Poděkování za pomoc zaslouží Fabiano Anemone.

Managed Configuration

Poděkování za pomoc zaslouží kado.

NetworkExtension

Poděkování za pomoc zaslouží Gongyu Ma (@Mezone0).

Shortcuts

Poděkování za pomoc zaslouží Robert Reichel.

Transparency

Poděkování za pomoc zaslouží Wojciech Regula ze společnosti SecuRing (wojciechregula.blog).

Wallet

Poděkování za pomoc zaslouží Aaron Schlitt (@aaron_sfn) z organizace Hasso Plattner Institute, Cybersecurity – Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) a Marco Bartoli (@wsxarcher).

WebKit

Poděkování za pomoc zaslouží David Wood, EntryHi, Luigino Camastra z organizace Aisle Research, Stanislav Fort z organizace Aisle Research, Vsevolod Kokorin (Slonser) ze společnosti Solidlab a Jorian Woltjer.

Widgets

Poděkování za pomoc zaslouží Marcel Voß a Serok Çelik.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: 16. února 2026