Acerca del contenido de seguridad de iOS 26.4 y iPadOS 26.4

En este documento, se describe el contenido de seguridad de iOS 26.4 y iPadOS 26.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

iOS 26.4 y iPadOS 26.4

Publicado el martes, 24 de marzo de 2026

802.1X

Disponible para: iPhone 11 y modelos posteriores, iPad Pro de tercera generación de 12,9 pulgadas y modelos posteriores, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de octava generación y modelos posteriores y iPad mini de quinta generación y modelos posteriores

Impacto: Un atacante con una posición de red privilegiada podía interceptar el tráfico de red.

Descripción: Para solucionar un problema de autenticación, se mejoró la administración de estados.

CVE-2026-28865: Héloïse Gollier y Mathy Vanhoef (KU Leuven)

Accounts

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2026-28877: Rosyna Keller de Totally Not Malicious Software

App Protection

Disponible para iPhone 11 y modelos posteriores

Impacto: Es posible que un atacante con acceso físico a un dispositivo iOS con Protección del Dispositivo en Caso de Robo habilitada pueda usar el código para acceder a apps protegidas con datos biométricos.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2026-28895: Zack Tickman

Audio

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28879: Justin Cohen de Google

Audio

Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app

Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.

CVE-2026-28822: Jex Amro

Baseband

Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang t Yongdae Kim en SysSec, KAIST

Baseband

Disponible para: iPhone 16e

Impacto: Un atacante remoto podía provocar una denegación de servicio.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2026-28875: Tuan D. Hoang y Yongdae Kim en SysSec Lab, KAIST

Calling Framework

Impacto: Un atacante remoto podía provocar una denegación de servicio.

Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación de entradas.

CVE-2026-28894: Un investigador anónimo

Clipboard

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Impacto: Es posible que el procesamiento de una secuencia de audio en un archivo multimedia creado con fines pueda finalizar el proceso.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2026-20690: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro

CoreUtils

Impacto: Un usuario con una posición de red privilegiada podía provocar una denegación de servicio.

Descripción: Se mejoró la validación de entradas para solucionar un problema de falta de referencia de puntero nulo.

CVE-2026-28886: Etienne Charron (Renault) y Victoria Martini (Renault)

Crash Reporter

Impacto: Es posible que una app pueda enumerar las aplicaciones instaladas por el usuario

Descripción: Se solucionó un problema de privacidad eliminando datos confidenciales.

CVE-2026-28878: Zhongcheng Li de IES Red Team

curl

Impacto: Hay un problema en curl que puede causar un envío involuntario de información confidencial a través de una conexión incorrecta.

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2025-14524

DeviceLink

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2026-28876: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs

GeoServices

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se abordó una filtración de información con validación adicional.

CVE-2026-28870: XiguaSec

iCloud

Impacto: Es posible que una app pueda enumerar las aplicaciones instaladas por el usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2026-28880: Zhongcheng Li de IES Red Team

CVE-2026-28833: Zhongcheng Li de IES Red Team

ImageIO

Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.

CVE-2025-64505

Kernel

Impacto: Una app podía divulgar la memoria del kernel

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2026-28868: 이동하 (Lee Dong Ha de BoB 0xB6)

Kernel

Impacto: Una app podía filtrar el estado confidencial del kernel.

Descripción: Para solucionar este problema, se mejoró el proceso de autenticación.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o dañar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Impacto: Es posible que una app pueda enumerar las aplicaciones instaladas por el usuario

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2026-28882: Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Impacto: Es posible que las opciones Ocultar dirección IP y Bloquear todo el contenido remoto no se apliquen a todo el contenido de Mail.

Descripción: Se solucionó un problema de privacidad mejorando el manejo de las preferencias del usuario.

CVE-2026-20692: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs

Printing

Impacto: Una app podía salir de su zona protegida

Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.

CVE-2026-20688: wdszzml y Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Impacto: Un atacante local podría obtener acceso a los elementos del llavero de un usuario

Descripción: Para solucionar este problema, se mejoró la comprobación de permisos.

CVE-2026-28864: Alex Radocea

Siri

Impacto: Es posible que un atacante con acceso físico a un dispositivo bloqueado pueda acceder a información confidencial del usuario

Descripción: Para solucionar este problema, se mejoró la autenticación.

CVE-2026-28856: Un investigador anónimo

Telephony

Impacto: Un usuario remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2026-28858: Hazem Issa y Yongdae Kim en SysSec, KAIST

UIFoundation

Impacto: Una app podía provocar una denegación de servicio.

Descripción: Se solucionó un problema de desbordamiento de pila mejorando la validación de entradas.

CVE-2026-28852: Caspian Tarafdar

WebKit

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados impida que se apliquen las políticas de seguridad del contenido.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Impacto: El procesamiento de contenido web creado con fines malintencionados podía omitir la política del mismo origen.

Descripción: Se mejoró la validación de entradas para solucionar un problema de origen cruzado en la API de navegación.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Impacto: Visitar un sitio web creado con fines malintencionados podía derivar en un ataque de scripts entre sitios.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Impacto: Es posible que un sitio web creado con fines malintencionados pueda acceder a controladores de mensajes de script diseñados para otros orígenes.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu y Shuaike Dong del Equipo de Seguridad de Ant Group Infrastructure

WebKit

Impacto: Es posible que un sitio web creado con fines malintencionados pueda procesar contenido web restringido fuera de zonas protegidas.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Impacto: Una página web creada con fines malintencionados podía tomar la huella digital del usuario.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Otros agradecimientos

Accessibility

Nos gustaría darles las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India y Jacob Prezant (prezant.us) por su ayuda.

AirPort

Nos gustaría darles las gracias a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari y Omid Rezaii por su ayuda.

App Protection

Nos gustaría darle las gracias a Andr.Ess por su ayuda.

Bluetooth

Nos gustaría darle las gracias a Hamid Mahmoud por su ayuda.

Captive Network

Nos gustaría darle las gracias a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.

CipherML

Nos gustaría darle las gracias a Nils Hanff (@nils1729@chaos.social) de Hasso Plattner Institute por su ayuda.

CloudAttestation

Nos gustaría darles las gracias a Suresh Sundaram y Willard Jansen por su ayuda.

CoreUI

Nos gustaría darle las gracias a Peter Malone por su ayuda.

Find My

Nos gustaría darle las gracias a Salemdomain por su ayuda.

GPU Drivers

Nos gustaría darle las gracias a Jian Lee (@speedyfriend433) por su ayuda.

ICU

Nos gustaría darle las gracias a Jian Lee (@speedyfriend433) por su ayuda.

Kernel

Nos gustaría darles las gracias a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville de Fuzzinglabs, Patrick Ventuzelo de Fuzzinglabs, Robert Tran y Suresh Sundaram por su ayuda.

libarchive

Nos gustaría darles las gracias a Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs y Arni Hardarson por su ayuda.

libc

Nos gustaría darle las gracias a Vitaly Simonovich por su ayuda.

Libnotify

Nos gustaría darle las gracias a Ilias Morad (@A2nkF_) por su ayuda.

LLVM

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

mDNSResponder

Nos gustaría darle las gracias a William Mather por su ayuda.

Messages

Nos gustaría darle las gracias a JZ por su ayuda.

MobileInstallation

Nos gustaría darle las gracias a Gongyu Ma (@Mezone0) por su ayuda.

Music

Nos gustaría darle las gracias a Mohammad Kaif (@_mkahmad | kaif0x01) por su ayuda.

NetworkExtension

Nos gustaría darle las gracias a Jianfeng Chen de yq12260 de Intretech por su ayuda.

Notes

Nos gustaría dar las gracias a Dawuge de Shuffle Team y Hunan University por su ayuda.

Notifications

Nos gustaría darle las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de Lakshmi Narain College of Technology Bhopal, India.

ppp

Nos gustaría darle las gracias a Dave G. por su ayuda.

Quick Look

Nos gustaría darles las gracias a Wojciech Regula de SecuRing (wojciechregula.blog) y a un investigador anónimo por su ayuda.

Safari

Nos gustaría darles las gracias a @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad y Yair por su ayuda.

Safari Private Browsing

Nos gustaría darle las gracias a Jaime Gallego Matud por su ayuda.

Shortcuts

Nos gustaría darles las gracias a Waleed Barakat (@WilDN00B) y Paul Montgomery (@nullevent) por su ayuda.

Siri

Nos gustaría darles las gracias a Anand Mallaya, consultora de tecnología, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar de Self-Employed por su ayuda.

Spotlight

Nos gustaría darles las gracias a Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group y Zack Tickman por su ayuda.

Status Bar

Nos gustaría darle las gracias a Sahel Alemi por su ayuda.

Telephony

Nos gustaría darles las gracias a Xue Zhang y Yi Chen por su ayuda.

Time Zone

Nos gustaría darle las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India por su ayuda.

UIKit

Nos gustaría darles las gracias a AEC, Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departamento de la Armada de los Estados Unidos), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 e incredincomp por su ayuda.

Wallet

Nos gustaría darle las gracias a Zhongcheng Li de IES Red Team de ByteDance por su ayuda.

Web Extensions

Nos gustaría darles las gracias a Carlos Jeurissen y Rob Wu (robwu.nl) por su ayuda.

WebKit

Nos gustaría darles las gracias a Vamshi Paili, greenbynox y un investigador anónimo por su ayuda.

WebKit Process Model

Nos gustaría darle las gracias a Joseph Semaan por su ayuda.

Wi-Fi

Nos gustaría darles las gracias a Kun Peeks (@SwayZGl1tZyyy) y un investigador anónimo por su ayuda.

Wi-Fi Connectivity

Nos gustaría darle las gracias a Alex Radocea de Supernetworks, Inc por su ayuda.

Widgets

Nos gustaría darles las gracias a Marcel Voß, Mitul Pranjay y Serok Çelik por su ayuda.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: marzo 27, 2026