Om sikkerhedsindholdet i iOS 26.4 og iPadOS 26.4

I dette dokument beskrives sikkerhedsindholdet i iOS 26.4 og iPadOS 26.4.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 26.4 og iPadOS 26.4

Udgivet 24. marts 2026

802.1X

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange netværkstrafik

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-28865: Héloïse Gollier og Mathy Vanhoef (KU Leuven)

Accounts

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-28877: Rosyna Keller fra Totally Not Malicious Software

App Protection

Tilgængelig til: iPhone 11 og nyere

Effekt: En hacker med fysisk adgang til en iOS-enhed, hvor Beskyttelse af stjålet enhed er slået til, kan muligvis få adgang til apps, der er beskyttet via biometriske data, ved hjælp af koden

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2026-28895: Adrián Pérez Martínez, Uluk Abylbekov og Zack Tickman

Post opdateret 9. april 2026

Audio

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2026-28879: Justin Cohen fra Google

Audio

Effekt: En hacker kan forårsage uventet applukning

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2026-28822: Jex Amro

Baseband

Effekt: En ekstern hacker kan forårsage en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang og Yongdae Kim @ SysSec, KAIST

Baseband

Fås til: iPhone 16e

Effekt: En hacker kan muligvis fremkalde et DoS-angreb

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2026-28875: Tuan D. Hoang og Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Effekt: En hacker kan muligvis fremkalde et DoS-angreb

Beskrivelse: Et DoS-problem er løst via forbedret inputgodkendelse.

CVE-2026-28894: En anonym programmør

Clipboard

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Effekt: Behandling af en lydstream i et skadeligt mediearkiv kan afbryde processen

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2026-20690: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreUtils

Effekt: En bruger i en privilegeret netværksposition kan muligvis forårsage et denial of service-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2026-28886: Etienne Charron (Renault) og Victoria Martini (Renault)

Crash Reporter

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Et fortrolighedsproblem er løst via flytning af følsomme data.

CVE-2026-28878: Zhongcheng Li fra IES Red Team

curl

Effekt: Et sikkerhedsproblem var til stede i curl, hvilket kan resultere i utilsigtet afsendelse af følsomme oplysninger via en forkert forbindelse

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-14524

DeviceLink

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2026-28876: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

GeoServices

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med lækage af oplysninger blev løst via yderligere validering.

CVE-2026-28870: XiguaSec

iCloud

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2026-28880: Zhongcheng Li fra IES Red Team

CVE-2026-28833: Zhongcheng Li fra IES Red Team

ImageIO

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-64505

Kernel

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2026-28868: 이동하 (Lee Dong Ha fra BoB 0xB6)

Kernel

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: Problemet er løst via forbedret godkendelse.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2026-28882: Ilias Morad (A2nkF) fra Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Effekt: "Skjul IP-adresse" og "Bloker eksternt indhold" bliver muligvis ikke anvendt på alt mailindhold

Beskrivelse: Et fortrolighedsproblem er løst via forbedret håndtering af brugerindstillinger.

CVE-2026-20692: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

Printing

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2026-20688: wdszzml og Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Effekt: En lokal hacker kan muligvis opnå adgang til brugerens nøgleringselementer

Beskrivelse: Problemet er løst ved forbedret kontrol af tilladelser.

CVE-2026-28864: Alex Radocea

Siri

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet blev løst ved forbedret godkendelse.

CVE-2026-28856: en anonym programmør

Telephony

Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2026-28858: Hazem Issa og Yongdae Kim @ SysSec, KAIST

UIFoundation

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.

CVE-2026-28852: Caspian Tarafdar

WebKit

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Problemet er løst via forbedret statusadministration.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Effekt: Behandling af skadeligt webindhold kan muligvis omgå politikken om samme oprindelse

Beskrivelse: Et problem på tværs af oprindelsessteder i Navigation-API'en er løst ved forbedret inputvalidering.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Effekt: Et besøg på et skadeligt udformet websted kan medføre scripting-angreb på tværs af websteder

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Effekt: Et skadeligt websted kan muligvis få adgang til scriptbesked-handlers, der er tiltænkt andre oprindelsessteder

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu og Shuaike Dong fra Ant Group Infrastructure Security Team

WebKit

Effekt: Et skadeligt websted kan muligvis behandle begrænset webindhold uden for sandbox'en

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India, Jacob Prezant (prezant.us) for hjælpen.

AirPort

Vi vil gerne takke Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii for hjælpen.

App Protection

Vi vil gerne takke Andr.Ess for hjælpen.

Bluetooth

Vi vil gerne takke Hamid Mahmoud for hjælpen.

Captive Network

Vi vil gerne takke Kun Peeks (@SwayZGl1tZyyy) for hjælpen.

CipherML

Vi vil gerne takke Nils Hanff (@nils1729@chaos.social) fra Hasso Plattner Institute for hjælpen.

CloudAttestation

Vi vil gerne takke Suresh Sundaram, Willard Jansen for hjælpen.

CoreUI

Vi vil gerne takke Peter Malone for hjælpen.

Find My

Vi vil gerne takke Salemdomain for hjælpen.

GPU Drivers

Vi vil gerne takke Jian Lee (@speedyfriend433) for hjælpen.

ICU

Vi vil gerne takke Jian Lee (@speedyfriend433) for hjælpen.

Kernel

Vi vil gerne takke DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville From Fuzzinglabs, Patrick Ventuzelo From Fuzzinglabs, Robert Tran, Suresh Sundaram for hjælpen.

libarchive

Vi vil gerne takke Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs, Arni Hardarson for hjælpen.

libc

Vi vil gerne takke Vitaly Simonovich for hjælpen.

Libnotify

Vi vil gerne takke Ilias Morad (@A2nkF_) for hjælpen.

LLVM

Vi vil gerne takke Nathaniel Oh (@calysteon) for hjælpen.

mDNSResponder

Vi vil gerne takke William Mather for hjælpen.

Messages

Vi vil gerne takke JZ for hjælpen.

MobileInstallation

Vi vil gerne takke Gongyu Ma (@Mezone0) for hjælpen.

Music

Vi vil gerne takke Mohammad Kaif (@_mkahmad | kaif0x01) for hjælpen.

NetworkExtension

Vi vil gerne takke Jianfeng Chen from yq12260 fra Intretech for hjælpen.

Notes

Vi vil gerne takke Dawuge fra Shuffle Team og Hunan University for hjælpen.

Notifications

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

ppp

Vi vil gerne takke Dave G. for hjælpen.

Quick Look

Vi vil gerne takke Wojciech Regula fra SecuRing (wojciechregula.blog), en anonym programmør for hjælpen.

Safari

Vi vil gerne takke @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair for hjælpen.

Safari Private Browsing

Vi vil gerne takke Jaime Gallego Matud for hjælpen.

Shortcuts

Vi vil gerne takke Waleed Barakat (@WilDN00B) og Paul Montgomery (@nullevent) for hjælpen.

Siri

Vi vil gerne takke Anand Mallaya, teknisk konsulent, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, selvstændig, for hjælpen.

Spotlight

Vi vil gerne takke Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman for hjælpen.

Status Bar

Vi vil gerne takke Sahel Alemi for hjælpen.

Telephony

Vi vil gerne takke Xue Zhang, Yi Chen for hjælpen.

Time Zone

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India for hjælpen.

UIKit

Vi vil gerne takke AEC, Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp for hjælpen.

Wallet

Vi vil gerne takke Zhongcheng Li fra IES Red Team fra ByteDance for hjælpen.

Web Extensions

Vi vil gerne takke Carlos Jeurissen, Rob Wu (robwu.nl) for hjælpen.

WebKit

Vi vil gerne takke Vamshi Paili, greenbynox og en anonym programmør for hjælpen.

WebKit Process Model

Vi vil gerne takke Joseph Semaan for hjælpen.

Wi-Fi

Vi vil gerne takke Kun Peeks (@SwayZGl1tZyyy), en anonym programmør for hjælpen.

Wi-Fi Connectivity

Vi vil gerne takke Alex Radocea fra Supernetworks, Inc for hjælpen.

Widgets

Vi vil gerne takke Marcel Voß, Mitul Pranjay, Serok Çelik for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 14. april 2026