מידע על תוכן האבטחה של iOS 26.3 ו-iPadOS 26.3‏

מסמך זה מתאר את תוכן האבטחה של iOS 26.3 ו-iPadOS 26.3‏.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

iOS 26.3 ו-iPadOS 26.3

הופץ ב-11 בפברואר 2026

Accessibility

זמין עבור: iPhone 11 ואילך, iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שמיני ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20645: ‏Loh Boon Keat

Accessibility

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2026-20674: ‏Jacob Prezant ‏(prezant.us)

Bluetooth

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות Bluetooth בעלות מבנה זדוני

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2026-20650: ‏jioundai

Call History

השפעה: תוקף עם הרחבות יישום Caller ID מושבתות יכול לזהות מידע שדלף להרחבות

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2026-20638: ‏Nils Hanff ‏(@nils1729@chaos.social) מ-Hasso Plattner Institute

CFNetwork

השפעה: משתמש מרוחק עלול להצליח לכתוב קבצים שרירותיים

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2026-20660:‏ Amy ‏(amys.website)

CoreAudio

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-20611: אנונימי בעבודה עם Trend Micro Zero Day Initiative

CoreMedia

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20609: ‏Yiğit Can YILMAZ ‏(@yilmazcanyigit)

CoreServices

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2026-20617: ‏Gergely Kalman ‏(@gergely_kalman), ‏Csaba Fitzl ‏(@theevilbit) מ-Iru

CoreServices

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2026-20615: ‏Csaba Fitzl ‏(@theevilbit) מ-Iru ו-Gergely Kalman ‏(@gergely_kalman)

CoreServices

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הייתה בעיה בטיפול במשתני סביבה. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2026-20627: חוקר אנונימי

dyld

השפעה: תוקף עם יכולת כתיבת זיכרון עלול להצליח להפעיל קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה בהתקפה מתוחכמת במיוחד כנגד אנשים ספציפיים בגרסאות iOS שקדמו ל-iOS 26. CVE-2025-14174 ו-CVE-2025-43529 הופקו גם כן בתגובה לדיווח זה.

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20700‏: Google Threat Analysis Group

Game Center

השפעה: משתמש עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-20649‏: Asaf Cohen

ImageIO

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לחשיפת מידע אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2026-20675: ‏George Karchemsky (‏@gkarchemsky) בעבודה עם Trend Micro Zero Day Initiative

ImageIO

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20634: ‏George Karchemsky (‏@gkarchemsky) בעבודה עם Trend Micro Zero Day Initiative

Kernel

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20654: ‏Jian Lee ‏(@speedyfriend433)

Kernel

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2026-20626: ‏Keisuke Hosoda

Kernel

השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2026-20671: ‏Xin'an Zhou, ‏Juefei Pu, ‏Zhutian Liu, ‏Zhiyun Qian, ‏Zhaowei Tan,‏ ‏Srikanth V. Krishnamurthy, ‏Mathy Vanhoef

LaunchServices

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: הבעיה טופלה על ידי טיהור הרישום.

CVE-2026-20663:‏ Zhongcheng Li מ-IES Red Team

libexpat

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-59375

libxpc

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2026-20667: חוקר אנונימי

Live Captions

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20655: ‏Richard Hyunho Im ‏(@richeeta) מ-Route Zero Security (routezero.security)

Messages

השפעה: קיצור דרך עלול להצליח לעקוף הגבלות של 'ארגז החול'

תיאור: מצב מרוץ טופל באמצעות טיפול משופר בקישורים סימבוליים.

CVE-2026-20677‏: Ron Masas מ-BreakPoint.SH

Photos

השפעה: אדם שיש לו גישה פיזית למכשיר iOS עלול להצליח להיכנס לתמונות ממסך הנעילה

תיאור: טופלה בעיה באימות קלט.

CVE-2026-20642: ‏Dalibor Milanovic

Sandbox

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-20628: ‏Noah Gregory ‏(wts.dev)

Sandbox Profiles

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20678: ‏Óscar García Pérez, ‏‎Stanislav Jelezoglo

Screenshots

השפעה: התוקף עשוי להיות מסוגל לגלות פתקים שנמחקו

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20682: ‏Viktor Lord Härringtón

Shortcuts

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2026-20653: ‏Enis Maholli ‏(enismaholli.com)

Spotlight

השפעה: יישום עם תכונת 'ארגז חול' עשוי להיות מסוגל לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.

CVE-2026-20680: חוקר אנונימי

StoreKit

השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש

תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.

CVE-2026-20641: ‏Gongyu Ma (‏@Mezone0)

UIKit

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2026-20606: ‏LeminLimez

UIKit

השפעה: תוקף עם גישה פיזית ל-iPhone עשוי להיות מסוגל לצלם צילומי מסך של נתונים רגישים ולהסתכל עליהם מה-iPhone במהלך שיקוף iPhone עם Mac

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20640: ‏Jacob Prezant ‏(prezant.us)

VoiceOver

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20661: ‏Dalibor Milanovic

WebKit

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla: ‏303959

CVE-2026-20652: ‏Nathaniel Oh (‏@calysteon)

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla: ‏303357

CVE-2026-20608:‏ HanQing מ-TSDubhe ו-Nan Wang ‏(@eternalsakura13)

WebKit

השפעה: ייתכן שאתר אינטרנט יוכל לעקוב אחר משתמשים באמצעות הרחבות אינטרנט של Safari

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla: ‏305020

CVE-2026-20676: ‏Tom Van Goethem

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla: ‏303444

CVE-2026-20644: ‏HanQing מ-TSDubhe ו-Nan Wang ‏(@eternalsakura13)

WebKit Bugzilla: ‏304657

CVE-2026-20636: ‏EntryHi

WebKit Bugzilla: ‏304661

CVE-2026-20635: ‏EntryHi

Wi-Fi

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20621: ‏Wang Yu of Cyberserval

תודות נוספות

Accessibility

אנחנו מבקשים להודות ל-Himanshu Bharti ‏(@Xpl0itme) מ-Khatima על הסיוע.

Bluetooth

אנחנו מבקשים להודות ל-Tommaso Sacchetti על הסיוע.

Contacts

אנחנו מבקשים להודות ל-Atul Kishor Jaiswal על הסיוע.

Kernel

אנחנו מבקשים להודות ל-Joseph Ravichandran ‏(@0xjprx) מ-MIT CSAIL ול-‏Xinru Chi מ-Pangu Lab על הסיוע.

libpthread

אנחנו מבקשים להודות ל-Fabiano Anemone על הסיוע.

Managed Configuration

אנחנו מבקשים להודות ל-kado על הסיוע.

NetworkExtension

אנחנו מבקשים להודות ל-Gongyu Ma (‏@Mezone0) על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-Robert Reichel על הסיוע.

Transparency

אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing ‏(wojciechregula.blog) על הסיוע.

Wallet

אנחנו מבקשים להודות ל-Aaron Schlitt ‏(@aaron_sfn) מ-Hasso Plattner Institute, Cybersecurity - Mobile & Wireless, ‏Jacob Prezant ‏(prezant.us), ‏Lorenzo Santina ‏(@BigNerd95) ול-Marco Bartoli (‏@wsxarcher) על הסיוע.

WebKit

אנחנו מבקשים להודות ל-David Wood, ‏EntryHi, ‏Luigino Camastra מ-Aisle Research, ‏Stanislav Fort מ-Aisle Research, ‏Vsevolod Kokorin ‏(Slonser) מ-Solidlab ול-Jorian Woltjer על הסיוע.

Widgets

אנחנו מבקשים להודות ל-Marcel Voß ול-Serok Çelik על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 16 בפברואר 2026