מידע על תוכן האבטחה של iOS 26.4 ו-iPadOS 26.4

מסמך זה מתאר את תוכן האבטחה של iOS 26.4 ו-iPadOS 26.4.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

iOS 26.4 ו-iPadOS 26.4

הופץ ב-24 במרץ 2026

802.1X

זמין עבור: iPhone 11 ואילך, iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שמיני ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28865‏: Héloïse Gollier ו-Mathy Vanhoef ‏(KU Leuven)

Accounts

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28877: ‏Rosyna Keller מ-Totally Not Malicious Software

App Protection

זמין עבור: iPhone 11 ואילך

השפעה: תוקף עם גישה פיזית למכשיר עם iOS, שבו האפשרות 'הגנה על מכשיר שנגנב' מופעלת, עלול להצליח לגשת אל יישומים, המוגנים באמצעי אימות ביומטריים, בעזרת קוד הגישה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2026-28895:‏ Zack Tickman

Audio

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2026-28879‏: Justin Cohen מ-Google

Audio

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28822: ‏Jex Amro

Baseband

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2026-28874:‏ Hazem Issa,‏ Tuan D. Hoang ו-Yongdae Kim ב-SysSec,‏ KAIST

Baseband

זמין עבור: iPhone 16e

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28875:‏ Tuan D. Hoang ו-Yongdae Kim ב-KAIST SysSec Lab

Calling Framework

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2026-28894: חוקר אנונימי

Clipboard

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2026-28866‏: Cristian Dinca ‏(icmd.tech)‏

CoreMedia

השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול להביא לסיום התהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-20690: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreUtils

השפעה: משתמש במיקום רשת מורשה עלול להצליח לגרום למניעת שירות

תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.

CVE-2026-28886: ‏Etienne Charron ‏(Renault) ו-Victoria Martini ‏(Renault)

Crash Reporter

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2026-28878:‏ Zhongcheng Li מ-IES Red Team

curl

השפעה: הייתה בעיה ב-curl שעלולה להביא באופן לא מכוון לשליחת מידע רגיש דרך חיבור שגוי

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-14524

DeviceLink

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2026-28876: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

GeoServices

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: דליפת מידע טופלה עם אימות נוסף.

CVE-2026-28870:‏ XiguaSec

iCloud

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28880‏: Zhongcheng Li מ-IES Red Team

CVE-2026-28833:‏ Zhongcheng Li מ-IES Red Team

ImageIO

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

CVE-2025-64505

Kernel

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28868:‏ 이동하 (‏Lee Dong Ha of BoB 0xB6)

Kernel

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיה זו טופלה באמצעות אימות משופר.

CVE-2026-28867: ‏Jian Lee ‏(‎@speedyfriend433)

Kernel

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20698: ‏DARKNAVY (‏@DarkNavyOrg)

Kernel

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-20687:‏ Johnny Franks‏ (‎@zeroxjf)

libxpc

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2026-28882:‏ Ilias Morad‏ (A2nkF) מ-Voynich Group,‏ Duy Trần‏ (‎@khanhduytran0),‏ ‎@hugeBlack

Mail

השפעה: ייתכן שההגדרות 'הסתרת כתובת ה-IP' ו'חסימת כל התוכן המרוחק' לא יחולו על כל תוכן הדואר

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.

CVE-2026-20692: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

Printing

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2026-20688: ‏wdszzml ו-Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28863: ‏Gongyu Ma ‏(‎@Mezone0)

Security

השפעה: תוקף מקומי עלול לקבל גישה לפריטי 'צרור מפתחות' של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקת הרשאות משופרת.

CVE-2026-28864: ‏Alex Radocea

Siri

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: הבעיה טופלה באמצעות אימות משופר.

CVE-2026-28856: חוקר אנונימי

Telephony

השפעה: משתמש מרוחק עלול להצליח לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28858:‏ Hazem Issa ו-Yongdae Kim ב-SysSec,‏ KAIST

UIFoundation

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: גלישת מחסנית טופלה בעזרת אימות קלט משופר.

CVE-2026-28852:‏ Caspian Tarafdar

WebKit

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 304951

CVE-2026-20665:‏ webb

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לעקוף את מדיניות 'אותו המקור'

תיאור: בעיה ממקורות שונים ב-Navigation API טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla: ‏306050

CVE-2026-20643:‏ Thomas Espach

WebKit

השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל להתקפת Scripting בין אתרים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 305859

CVE-2026-28871:‏ ‎@hamayanhamayan

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 306136

CVE-2026-20664:‏ Daniel Rhea,‏ Söhnke Benedikt Fischedick‏ (Tripton),‏ Emrovsky & Switch,‏ Yevhen Pervushyn

WebKit Bugzilla‏: 307723

CVE-2026-28857:‏ Narcis Oliveras Fontàs,‏ Söhnke Benedikt Fischedick‏ (Tripton),‏ Daniel Rhea,‏ Nathaniel Oh‏ (‎@calysteon)

WebKit

השפעה: אתר אינטרנט זדוני עלול להצליח לגשת אל רכיבי ה-Handler של הודעת סקריפט המיועדים למקורות אחרים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 307014

CVE-2026-28861:‏ Hongze Wu ו-Shuaike Dong מ-Ant Group Infrastructure Security Team

WebKit

השפעה: אתר אינטרנט זדוני עלול להצליח לעבד תוכן אינטרנט מוגבל מחוץ לארגז החול

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 308248

CVE-2026-28859:‏ greenbynox,‏ Arni Hardarson

WebKit Sandboxing

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 306827

CVE-2026-20691: ‏Gongyu Ma ‏(‎@Mezone0)

תודות נוספות

Accessibility

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Safran Mumbai India ול-Jacob Prezant‏ (prezant.us) על הסיוע.

AirPort

אנחנו מבקשים להודות ל-Yashar Shahinzadeh, ל-Saman Ebrahimnezhad, ל-Amir Safari ול-Omid Rezaii על הסיוע.

App Protection

אנחנו מבקשים להודות ל-Andr.Ess על הסיוע.

Bluetooth

אנחנו מבקשים להודות ל-Hamid Mahmoud על הסיוע.

Captive Network

אנחנו מבקשים להודות ל-Kun Peeks ‏(‎@SwayZGl1tZyyy) על הסיוע.

CipherML

אנחנו מבקשים להודות ל-Nils Hanff‏ (‎@nils1729@chaos.social) מ-Hasso Plattner Institute על הסיוע.

CloudAttestation

אנחנו מבקשים להודות ל-Suresh Sundaram ול-Willard Jansen על הסיוע.

CoreUI

אנחנו מבקשים להודות ל-Peter Malone על הסיוע.

Find My

אנחנו מבקשים להודות ל-Salemdomain על הסיוע.

GPU Drivers

אנחנו מבקשים להודות ל-Jian Lee‏ (‎@speedyfriend433) על הסיוע.

ICU

אנחנו מבקשים להודות ל-Jian Lee‏ (‎@speedyfriend433) על הסיוע.

Kernel

אנחנו מבקשים להודות ל-DARKNAVY‏ (‎@DarkNavyOrg), ל-Kylian Boulard De Pouqueville מ-Fuzzinglabs, ל-Patrick Ventuzelo מ-Fuzzinglabs, ל-Robert Tran ול-Suresh Sundaram על הסיוע.

libarchive

אנחנו מבקשים להודות ל-Andreas Jaegersberger ול-Ro Achterberg מ-Nosebeard Labs וכן ל-Arni Hardarson על הסיוע.

libc

אנחנו מבקשים להודות ל-Vitaly Simonovich על הסיוע.

Libnotify

אנחנו מבקשים להודות ל-Ilias Morad‏ (‎@A2nkF_) על הסיוע.

LLVM

אנחנו מבקשים להודות ל-Nathaniel Oh‏ (‎@calysteon) על הסיוע.

mDNSResponder

אנחנו מבקשים להודות ל-William Mather על הסיוע.

Messages

אנחנו מבקשים להודות ל-JZ על הסיוע.

MobileInstallation

אנחנו מבקשים להודות ל-Gongyu Ma ‏(‏@Mezone0) על הסיוע.

Music

אנחנו מבקשים להודות ל-Mohammad Kaif‏ (‎@_mkahmad | kaif0x01) על הסיוע.

NetworkExtension

אנחנו מבקשים להודות ל-Jianfeng Chen מ-yq12260 ב-Intretech על הסיוע.

Notes

אנחנו מבקשים להודות ל-Dawuge מ-Shuffle Team ול-Hunan University על הסיוע.

Notifications

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India על הסיוע.

ppp

אנחנו מבקשים להודות ל-Dave G.‎ על הסיוע.

Quick Look

אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing‏ (wojciechregula.blog) ולחוקר אנונימי על הסיוע.

Safari

אנחנו מבקשים להודות ל-‎@RenwaX23, ל-Bikesh Parajuli, ל-Farras Givari, ל-Syarif Muhammad Sajjad ול-Yair על הסיוע.

Safari Private Browsing

אנחנו מבקשים להודות ל-Jaime Gallego Matud על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-Waleed Barakat‏ (‎@WilDN00B) ול-Paul Montgomery‏ (‎@nullevent) על הסיוע.

Siri

אנחנו מבקשים להודות ל-Anand Mallaya, יועץ טכני, מ-Anand Mallaya and Co.‎, ל-Harsh Kirdolia ול-Hrishikesh Parmar, עצמאי, על הסיוע.

Spotlight

אנחנו מבקשים להודות ל-Bilge Kaan Mızrak, ל-Claude & Friends: Risk Analytics Research Group ול-Zack Tickman על הסיוע.

Status Bar

אנחנו מבקשים להודות ל-Sahel Alemi על הסיוע.

Telephony

אנחנו מבקשים להודות ל-Xue Zhang ול-Yi Chen על הסיוע.

Time Zone

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Safran שבמומבאי, הודו, על הסיוע.

UIKit

אנחנו מבקשים להודות ל-AEC, ל-Abhay Kailasia‏ (‎@abhay_kailasia) מ-Safran Mumbai India, ל-Ben Gallagher, ל-Bishal Kafle‏ (‎@whoisbishal.k), ל-Carlos Luna‏ (U.S. Department of the Navy), ל-Dalibor Milanovic, ל-Daren Goodchild, ל-JS De Mattei, ל-Maxwell Garn, ל-Zack Tickman, ל-fuyuu12 ול-incredincomp על הסיוע.

Wallet

אנחנו מבקשים להודות ל-Zhongcheng Li מ-IES Red Team ב-ByteDance על הסיוע.

Web Extensions

אנחנו מבקשים להודות ל-Carlos Jeurissen ול-Rob Wu‏ (robwu.nl) על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Vamshi Paili, ל-greenbynox ולחוקר אנונימי על הסיוע.

WebKit Process Model

אנחנו מבקשים להודות ל-Joseph Semaan על הסיוע.

Wi-Fi

אנחנו מבקשים להודות ל-Kun Peeks ‏(‎@SwayZGl1tZyyy) ולחוקר אנונימי על הסיוע.

Wi-Fi Connectivity

אנחנו מבקשים להודות ל-Alex Radocea מ-Supernetworks, Inc על הסיוע.

Widgets

אנחנו מבקשים להודות ל-Marcel Voß, ל-Mitul Pranjay ול-Serok Çelik על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 27 במרץ 2026