Tietoja iOS 26.3:n ja iPadOS 26.3:n

Tässä asiakirjassa kerrotaan iOS 26.3:n ja iPadOS 26.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 26.3 ja iPadOS 26.3

Julkaistu 11.2.2026

Accessibility

Saatavuus: iPhone 11 ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2026-20645: Loh Boon Keat

Accessibility

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä taitavasti luotuja Bluetooth-paketteja.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2026-20650: jioundai

Call History

Vaikutus: käyttäjältä, joka oli laittanut pois päältä live-soittajantunnusappilaajennukset, saattoi vuotaa laajennuksiin tietoja, joista hänet voitiin tunnistaa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social, Hasso Plattner Institute)

CFNetwork

Vaikutus: Etäkäyttäjä saattoi pystyä kirjoittamaan mielivaltaisia tiedostoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20611: Trend Micro Zero Day Initiativen parissa työskentelevä nimetön henkilö

CoreMedia

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit, Iru)

CoreServices

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-20615: Csaba Fitzl (@theevilbit, Iru) ja Gergely Kalman (@gergely_kalman)

CoreServices

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Ympäristömuuttujien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2026-20627: nimetön tutkija

dyld

Vaikutus: hyökkääjä, jolla oli muistin kirjoitusoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan iOS 26 -versiota edeltävissä iOS-versioissa. Vastauksena tähän raporttiin on julkaistu myös CVE-2025-14174 ja CVE-2025-43529.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-20649: Asaf Cohen

ImageIO

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-20675: Trend Micro Zero Day Initiativen parissa työskentelevä George Karchemsky (@gkarchemsky)

ImageIO

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20634: Trend Micro Zero Day Initiativen parissa työskentelevä George Karchemsky (@gkarchemsky)

Kernel

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-20626: Keisuke Hosoda

Kernel

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.

CVE-2026-20663: Zhongcheng Li (IES Red Team)

libexpat

Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-59375

libxpc

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20667: nimetön tutkija

Live Captions

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20655: Richard Hyunho Im (@richeeta, Route Zero Security, routezero.security)

Messages

Vaikutus: oikotie saattoi pystyä ohittamaan eristysympäristön rajoitukset.

Kuvaus: kilpailutilanne on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-20677: Ron Masas (BreakPoint.SH)

Photos

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää kuvia lukitulta näytöltä.

Kuvaus: Syötteen vahvistusongelma on korjattu.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Vaikutus: hyökkääjä saattoi pystyä löytämään käyttäjän poistettuja muistiinpanoja.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.

CVE-2026-20680: nimetön tutkija

StoreKit

Vaikutus: appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.

Kuvaus: tietosuojaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-20606: LeminLimez

UIKit

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy iPhoneen, saattoi pystyä ottamaan näyttökuvia iPhonen arkaluontoisista tiedoista ja katsomaan niitä iPhone-peilauksen aikana Macin kanssa.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20661: Dalibor Milanovic

WebKit

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing (TSDubhe) ja Nan Wang (@eternalsakura13)

WebKit

Vaikutus: Verkkosivusto saattoi pystyä seuraamaan käyttäjiä Safari-verkkolaajennusten kautta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing (TSDubhe) ja Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20621: Wang Yu (Cyberserval)

Kiitokset

Accessibility

Haluamme kiittää avusta Himanshu Bhartia (@Xpl0itme, Khatima).

Bluetooth

Haluamme kiittää avusta Tommaso Sacchettia.

Contacts

Haluamme kiittää avusta Atul Kishor Jaiswalia.

Kernel

Haluamme kiittää avusta Joseph Ravichandrania (@0xjprx, MIT CSAIL) ja Xinru Chia (Pangu Lab).

libpthread

Haluamme kiittää avusta Fabiano Anemonea.

Managed Configuration

Haluamme kiittää avusta kadoa.

NetworkExtension

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

Shortcuts

Haluamme kiittää avusta Robert Reichelia.

Transparency

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog).

Wallet

Haluamme kiittää avusta Aaron Schlittiä (@aaron_sfn, Hasso Plattner Institute, Cybersecurity - Mobile & Wireless), Jacob Prezantia (prezant.us), Lorenzo Santinaa (@BigNerd95) ja Marco Bartolia (@wsxarcher).

WebKit

Haluamme kiittää avusta David Woodia, EntryHitä, Luigino Camastraa (Aisle Research), Stanislav Fortia (Aisle Research), Vsevolod Kokorinia (Slonser, Solidlab) ja Jorian Woltjeria.

Widgets

Haluamme kiittää avusta Marcel Voßia ja Serok Çelikiä.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 16. helmikuuta 2026