Om sikkerhedsindholdet i iOS 26.3 og iPadOS 26.3

I dette dokument beskrives sikkerhedsindholdet i iOS 26.3 og iPadOS 26.3.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 26.3 og iPadOS 26.3

Accessibility

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2026-20645: Wong Wee Xiang og Loh Boon Keat

Accessibility

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et fortrolighedsproblem er løst via flytning af følsomme data.

CVE-2026-20674: Jacob Prezant (prezant.us)

AppleKeyStore

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2026-20637: Johnny Franks (zeroxjf), en anonym programmør

Bluetooth

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker i en privilegeret netværksposition kan muligvis udføre DoS-angreb (Denial-of-Service) ved hjælp af skadelige Bluetooth-pakker

Beskrivelse: Et DoS-problem er løst via forbedret godkendelse.

CVE-2026-20650: jioundai

Call History

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Id-oplysninger for en bruger, der har slået Nummersøgning i realtid-appudvidelser fra, kan lækkes til udvidelserne

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) fra Hasso Plattner Institute

CFNetwork

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En ekstern bruger kan muligvis skrive vilkårlige arkiver

Beskrivelse: Et problem med stihåndtering er løst via forbedret logik.

CVE-2026-20660: Amy (amys.website)

Contacts

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret godkendelse af input.

CVE-2026-20686: Atul Kishor Jaiswal

CoreAudio

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2026-20611: Anonym, der arbejder med Trend Micro Zero Day Initiative

CoreMedia

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af et skadeligt arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: En konkurrencetilstand er løst via forbedret tilstandshåndtering.

CVE-2026-20617: Golden Helm Securities, Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) fra Iru

CoreServices

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2026-20615: Csaba Fitzl (@theevilbit) fra Iru og Gergely Kalman (@gergely_kalman)

CoreServices

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Der var et problem i behandlingen af miljøvariabler. Dette problem blev rettet gennem forbedret validering.

CVE-2026-20627: En anonym programmør

dyld

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker med mulighed for at skrive til hukommelsen kan muligvis køre vilkårlig kode. Apple er opmærksom på, at dette problem muligvis er blevet udnyttet i et yderst avanceret angreb på specifikke målpersoner på iOS-versioner før iOS 26. CVE-2025-14174 og CVE-2025-43529 blev også udgivet som respons på denne anmeldelse.

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2026-20700: Google Threat Analysis Group

Focus

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2026-20668: Kirin (@Pwnrin)

Game Center

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En bruger kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2026-20649: Asaf Cohen

ImageIO

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2026-20675: George Karchemsky (@gkarchemsky), der arbejder med Trend Micro Zero Day Initiative

ImageIO

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20634: George Karchemsky (@gkarchemsky), der arbejder med Trend Micro Zero Day Initiative

Kernel

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En skadelig app kan muligvis få adgang til rodrettigheder

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2026-20626: Keisuke Hosoda

Kernel

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange netværkstrafik

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Problemet er løst ved at rense logføring.

CVE-2026-20663: Zhongcheng Li fra IES Red Team

libexpat

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af et arkiv med skadeligt indhold kan medføre et DoS-angreb

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-59375

libxpc

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2026-20667: en anonym programmør

Live Captions

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-20655: Richard Hyunho Im (@richeeta) fra Route Zero Security (routezero.security)

Messages

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En genvej kan muligvis omgå sandbox-begrænsninger

Beskrivelse: En race condition blev løst med forbedret håndtering af symbolske links.

CVE-2026-20677: Ron Masas fra BreakPoint.SH

MigrationKit

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf) fra Lupus Nova

Photos

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis få adgang til fotos fra låseskærmen

Beskrivelse: Et problem med inputvalidering er løst.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screen Time

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2026-28855: Kirin (@Pwnrin)

Screenshots

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker kan muligvis registrere en brugers slettede noter

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En sandbox-app kan muligvis tilgå følsomme brugerdata

Beskrivelse: Problemet blev løst via yderligere begrænsninger for observerbarhed af apptilstande.

CVE-2026-20680: en anonym programmør

StoreKit

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis identificere, hvilke andre apps en bruger har installeret

Beskrivelse: Et anonymitetsproblem er løst via forbedret kontrol.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis omgå visse indstillinger for anonymitet

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2026-20606: LeminLimez

UIKit

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker med fysisk adgang til en iPhone kan muligvis tage og se skærmbilleder af følsomme data fra iPhone-enheden under iPhone-skærmdublering med Mac

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-20661: Dalibor Milanovic

WebKit

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker kan muligvis fremkalde et DoS-angreb

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2026-20608: HanQing fra TSDubhe og Nan Wang (@eternalsakura13)

WebKit

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Hackere kan muligvis spore brugere via Safari-webudvidelser

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2026-20676: Tom Van Goethem

WebKit

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20644: HanQing fra TSDubhe og Nan Wang (@eternalsakura13)

CVE-2026-20636: EntryHi

CVE-2026-20635: EntryHi

Wi-Fi

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20621: Wang Yu fra Cyberserval

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Himanshu Bharti (@Xpl0itme) fra Khatima for hjælpen.

Bluetooth

Vi vil gerne takke Tommaso Sacchetti for hjælpen.

Kernel

Vi vil gerne takke Joseph Ravichandran (@0xjprx) fra MIT CSAIL og Xinru Chi fra Pangu Lab for hjælpen.

libpthread

Vi vil gerne takke Fabiano Anemone for hjælpen.

Managed Configuration

Vi vil gerne takke kado for hjælpen.

NetworkExtension

Vi vil gerne takke Gongyu Ma (@Mezone0) for hjælpen.

Notes

Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.

Shortcuts

Vi vil gerne takke Robert Reichel for hjælpen.

Transparency

Vi vil gerne takke Wojciech Regula fra SecuRing (wojciechregula.blog) for hjælpen.

Wallet

Vi vil gerne takke Aaron Schlitt (@aaron_sfn) fra Hasso Plattner Institute, Cybersecurity - Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) og Marco Bartoli (@wsxarcher) for hjælpen.

WebKit

Vi vil gerne takke David Wood, EntryHi, Luigino Camastra fra Aisle Research, Stanislav Fort fra Aisle Research, Roman Belovitskiy, Vsevolod Kokorin (Slonser) fra Solidlab og Jorian Woltjer for hjælpen.

Widgets

Vi vil gerne takke Marcel Voß, Serok Çelik, Mitul Pranjay for hjælpen.