Tietoja iOS 26.4:n ja iPadOS 26.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 26.4:n ja iPadOS 26.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 26.4 ja iPadOS 26.4

Julkaistu 24.3.2026

802.1X

Saatavuus: iPhone 11 ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)

Accounts

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

App Protection

Saatavuus: iPhone 11 ja sitä uudemmat

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy iOS-laitteeseen, jossa oli käytössä varastetun laitteen suojaus, saattoi pystyä käyttämään biometrisella todennuksella suojattuja appeja ilman pääsykoodia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28895: Adrián Pérez Martínez, Uluk Abylbekov ja Zack Tickman

Kohta päivitetty 9.4.2026

Audio

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28879: Justin Cohen (Google)

Audio

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28822: Jex Amro

Baseband

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang ja Yongdae Kim @ SysSec, KAIST

Baseband

Saatavuus: iPhone 16e

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28875: Tuan D. Hoang ja Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28894: nimetön tutkija

Clipboard

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)

Crash Reporter

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Vaikutus: curlin ongelma saattoi aiheuttaa arkaluontoisten tietojen tahattoman lähetyksen väärän yhteyden kautta.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-14524

DeviceLink

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28876: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

GeoServices

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28870: XiguaSec

iCloud

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

CVE-2025-64505

Kernel

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-28882: Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Mail

Vaikutus: ”Kätke IP-osoite” ja ”Estä kaikki etäsisältö” eivät välttämättä koskeneet kaikkia sähköpostisisältöä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla käyttäjän asetusten käsittelyä.

CVE-2026-20692: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

Printing

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-20688: wdszzml ja Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2026-28864: Alex Radocea

Siri

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla todennusta.

CVE-2026-28856: nimetön tutkija

Telephony

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28858: Hazem Issa ja Yongdae Kim @ SysSec, KAIST

UIFoundation

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28852: Caspian Tarafdar

WebKit

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön

Kuvaus: Navigation API -rajapinnan ristilähdeongelma korjattiin parantamalla annettujen tietojen vahvistamista.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Vaikutus: haitallinen verkkosivusto saattoi pystyä käyttämään muihin alkuperiin tarkoitettuja komentosarjojen viestikäsittelijöitä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu ja Shuaike Dong (Ant Group Infrastructure Security Team)

WebKit

Vaikutus: haitallinen verkkosivusto saattoi pystyä käsittelemään rajoitettua verkkosisältöä sandboxin ulkopuolella.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Kiitokset

Accessibility

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India) ja Jacob Prezantia (prezant.us).

AirPort

Haluamme kiittää avusta Yashar Shahinzadehia, Saman Ebrahimnezhadia, Amir Safaria ja Omid Rezaiita.

App Protection

Haluamme kiittää nimimerkkiä Andr.Ess hänen antamastaan avusta.

Bluetooth

Haluamme kiittää avusta Hamid Mahmoudia.

Captive Network

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).

CipherML

Haluamme kiittää avusta Nils Hanff (@nils1729@chaos.social, Hasso Plattner Institute).

CloudAttestation

Haluamme kiittää avusta Suresh Sundaramia ja Willard Jansenia.

CoreUI

Haluamme kiittää avusta Peter Malonea.

Find My

Haluamme kiittää avusta Salemdomainia.

GPU Drivers

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

ICU

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

Kernel

Haluamme kiittää avusta DARKNAVYa (@DarkNavyOrg), Kylian Boulard De Pouquevilleä (Fuzzinglabs), Patrick Ventuzeloa (Fuzzinglabs), Robert Trania ja Suresh Sundaramia.

libarchive

Haluamme kiittää avusta Andreas Jaegersbergeriä ja Ro Achterbergiä (Nosebeard Labs) sekä Arni Hardarsonia.

libc

Haluamme kiittää avusta Vitaly Simonovichia.

Libnotify

Haluamme kiittää avusta Ilias Moradia (@A2nkF_).

LLVM

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

mDNSResponder

Haluamme kiittää avusta William Matheria.

Messages

Haluamme kiittää avusta JZ:aa.

MobileInstallation

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

Music

Haluamme kiittää avusta Mohammad Kaifia (@_mkahmad | kaif0x01).

NetworkExtension

Haluamme kiittää avusta Jianfeng Cheniä (yq12260 of Intretech).

Notes

Haluamme kiittää avusta nimimerkkiä Dawuge (Shuffle Team, Hunan University).

Notifications

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

ppp

Haluamme kiittää Dave G:tä hänen antamastaan avusta.

Quick Look

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja nimetöntä tutkijaa.

Safari

Haluamme kiittää avusta @RenwaX23:a, Bikesh Parajulia, Farras Givaria, Syarif Muhammad Sajjadia ja Yairia.

Safari Private Browsing

Haluamme kiittää avusta Jaime Gallego Matudia.

Shortcuts

Haluamme kiittää avusta Waleed Barakatia (@WilDN00B) ja Paul Montgomeryä (@nullevent).

Siri

Haluamme kiittää avusta Anand Mallayaa (tekniikkakonsultti, Anand Mallaya and Co.), Harsh Kirdoliaa ja Hrishikesh Parmaria (yksityisyrittäjä).

Spotlight

Haluamme kiittää avusta Bilge Kaan Mızrakia, Claude & Friends: Risk Analytics Research Groupia ja Zack Tickmania.

Status Bar

Haluamme kiittää avusta Sahel Alemia.

Telephony

Haluamme kiittää avusta Xue Zhangia ja Yi Cheniä.

Time Zone

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India).

UIKit

Haluamme kiittää avusta AEC:tä, Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India), Ben Gallagheria, Bishal Kaflea (@whoisbishal.k), Carlos Lunaa (U.S. Department of the Navy), Dalibor Milanovicia, Daren Goodchildia, JS De Matteita, Maxwell Garnia, Zack Tickmania, fuyuu12:ta ja incredincompia.

Wallet

Haluamme kiittää avusta Zhongcheng Litä (IES Red Team, ByteDance).

Web Extensions

Haluamme kiittää avusta Carlos Jeurissenia, Rob Wuta (robwu.nl).

WebKit

Haluamme kiittää avusta Vamshi Pailia, greenbynoxia ja nimetöntä tutkijaa.

WebKit Process Model

Haluamme kiittää avusta Joseph Semaania.

Wi-Fi

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy) ja nimetöntä tutkijaa.

Wi-Fi Connectivity

Haluamme kiittää avusta Alex Radoceaa (Supernetworks, Inc).

Widgets

Haluamme kiittää avusta Marcel Voßia, Mitul Pranjayta ja Serok Çelikiä.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 14. huhtikuuta 2026