Informationen zum Sicherheitsinhalt von iOS 26.3 und iPadOS 26.3

In diesem Dokument wird der Sicherheitsinhalt von iOS 26.3 und iPadOS 26.3 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 26.3 und iPadOS 26.3

Veröffentlicht am 11. Februar 2026

Accessibility

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20645: Loh Boon Keat

Accessibility

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Durch Entfernen vertraulicher Daten wurde ein Datenschutzproblem behoben.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition könnte mithilfe manipulierter Bluetooth-Pakete einen Denial-of-Service-Angriff durchführen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2026-20650: jioundai

Call History

Auswirkung: Ein Benutzer mit deaktivierten App-Erweiterungen für Live-Anrufer-IDs könnte Informationen zur Identifikation an die Erweiterungen weitergegeben haben.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) von Hasso Plattner Institute

CFNetwork

Auswirkung: Ein lokaler Benutzer kann willkürliche Dateien schreiben.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Logik behoben.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-20611: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreMedia

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) von Iru

CoreServices

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2026-20615: Csaba Fitzl (@theevilbit) von Iru und Gergely Kalman (@gergely_kalman)

CoreServices

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Beim Verarbeiten von Umgebungsvariablen bestand ein Problem. Dieses Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2026-20627: Ein anonymer Forscher

dyld

Auswirkung: Ein Angreifer mit Schreibzugriff auf den Speicher kann möglicherweise willkürlichen Code ausführen. Apple hat Kenntnis von einer Meldung erlangt, dass dieses Problem durch einen äußerst ausgefeilten Angriff auf bestimmte Zielpersonen in iOS-Versionen vor iOS 26 ausgenutzt worden sein könnte. CVE-2025-14174 und CVE-2025-43529 wurden als Reaktion auf diese Meldung ebenfalls veröffentlicht.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Auswirkung: Ein Benutzer kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2026-20649: Asaf Cohen

ImageIO

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-20675: George Karchemsky (@gkarchemsky) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20634: George Karchemsky (@gkarchemsky) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Kernel

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Auswirkung: Eine schadhafte App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20626: Keisuke Hosoda

Kernel

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise den Netzwerkdatenverkehr abfangen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Das Problem wurde durch Bereinigen der Protokollierung behoben.

CVE-2026-20663: Zhongcheng Li vom IES Red Team

libexpat

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann möglicherweise zu einem Denial-of-Service führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-59375

libxpc

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20667: Ein anonymer Forscher

Live Captions

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20655: Richard Hyunho Im (@richeeta) bei Route Zero Security (routezero.security)

Messages

Auswirkung: Ein Kurzbefehl kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Handhabung symbolischer Links behoben.

CVE-2026-20677: Ron Masas von BreakPoint.SH

Photos

Auswirkung: Personen mit physischem Zugang zu einem iOS-Gerät können vom Sperrbildschirm aus auf Fotos zugreifen.

Beschreibung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Auswirkung: Ein Angreifer kann möglicherweise die vom Benutzer gelöschten Notizen entdecken.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Auswirkung: Eine App in einer Sandbox kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.

CVE-2026-20680: Ein anonymer Forscher

StoreKit

Auswirkung: Eine App kann möglicherweise feststellen, welche anderen Apps ein Benutzer installiert hat.

Beschreibung: Ein Datenschutzproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Auswirkung: Bestimmte Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2026-20606: LeminLimez

UIKit

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein iPhone könnte während der iPhone-Synchronisierung mit dem Mac Bildschirmaufnahmen sensibler Daten vom iPhone anfertigen und einsehen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20661: Dalibor Milanovic

WebKit

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing von TSDubhe und Nan Wang (@eternalsakura13)

WebKit

Auswirkung: Eine Website kann Benutzer über Safari-Weberweiterungen verfolgen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing von TSDubhe und Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Auswirkung: Eine App kann einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20621: Wang Yu von Cyberserval

Zusätzliche Danksagung

Accessibility

Wir möchten uns bei Himanshu Bharti (@Xpl0itme) von Khatima für die Unterstützung bedanken.

Bluetooth

Wir möchten uns bei Tommaso Sacchetti für die Unterstützung bedanken.

Contacts

Wir möchten uns bei Atul Kishor Jaiswal für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Joseph Ravichandran (@0xjprx) von MIT CSAIL und Xinru Chi von Pangu Lab für die Unterstützung bedanken.

libpthread

Wir möchten uns bei Fabiano Anemone für die Unterstützung bedanken.

Managed Configuration

Wir möchten uns bei kado für die Unterstützung bedanken.

NetworkExtension

Wir möchten uns bei Gongyu Ma (@Mezone0) für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Robert Reichel für die Unterstützung bedanken.

Transparency

Wir möchten uns bei Wojciech Regula von SecuRing (wojciechregula.blog) für die Unterstützung bedanken.

Wallet

Wir möchten uns bei Aaron Schlitt (@aaron_sfn) von Hasso Plattner Institute, Cybersecurity – Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) und Marco Bartoli (@wsxarcher) für die Unterstützung bedanken.

WebKit

Wir möchten uns bei David Wood, EntryHi, Luigino Camastra von Aisle Research, Stanislav Fort von Aisle Research, Vsevolod Kokorin (Slonser) von Solidlab und Jorian Woltjer für die Unterstützung bedanken.

Widgets

Wir möchten uns bei Marcel Voß und Serok Çelik für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: Februar 16, 2026