Informacije o sigurnosnom sadržaju sustava iOS 26.3 i iPadOS 26.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 26.3 i iPadOS 26.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 26.3 i iPadOS 26.3

Objavljeno 11. veljače 2026.

Accessibility

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20645: Loh Boon Keat

Accessibility

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Učinak: napadač na povlaštenom mrežnom položaju možda će moći izvršiti napad uskraćivanja usluge koristeći zlonamjerne Bluetooth pakete

Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.

CVE-2026-20650: jioundai

Call History

Učinak: korisniku s isključenim proširenjima aplikacije Live Caller ID mogli bi do proširenja procuriti podaci koji omogućuju identifikaciju

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) iz instituta Hasso Plattner Institute

CFNetwork

Učinak: udaljeni korisnik mogao bi zapisivati proizvoljne datoteke

Opis: problem s obradom putova riješen je poboljšanom logikom.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-20611: anonimni istraživač u suradnji s inicijativom Zero Day Initiative (Trend Micro)

CoreMedia

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) iz tvrtke Iru

CoreServices

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2026-20615: Csaba Fitzl (@theevilbit) iz tvrtke Iru i Gergely Kalman (@gergely_kalman)

CoreServices

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je postojao u rukovanju varijablama okruženja. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2026-20627: anonimni istraživač

dyld

Učinak: napadač s mogućnošću zapisivanja u memoriju mogao bi pokrenuti proizvoljni kod. Apple je upoznat s izvješćem u kojem se navodi da je ovaj problem možda aktivno iskorišten u iznimno sofisticiranom napadu na određene pojedince na verzijama sustava iOS prije iOS 26. CVE-2025-14174 i CVE-2025-43529 također su izdani kao odgovor na ovo izvješće.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-20649: Asaf Cohen

ImageIO

Učinak: obradom zlonamjerne slike moglo bi doći do otkrivanja korisničkih podataka

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2026-20675: George Karchemsky (@gkarchemsky) u suradnji s inicijativom Zero Day Initiative (Trend Micro)

ImageIO

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20634: George Karchemsky (@gkarchemsky) u suradnji s inicijativom Zero Day Initiative (Trend Micro)

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-20626: Keisuke Hosoda

Kernel

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem je riješen čišćenjem zapisnika.

CVE-2026-20663: Zhongcheng Li (IES Red Team)

libexpat

Učinak: obrada zlonamjerne datoteke mogla bi dovesti do odbijanja usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-59375

libxpc

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2026-20667: anonimni istraživač

Live Captions

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20655: Richard Hyunho Im (@richeeta) iz tvrtke Route Zero Security (routezero.security)

Messages

Učinak: prečac bi mogao zaobići ograničenja memorije za testiranje

Opis: uvjet nadvladavanja riješen je poboljšanim rukovanjem simboličkim vezama.

CVE-2026-20677: Ron Masas (BreakPoint.SH)

Photos

Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi sa zaključanog zaslona pristupiti fotografijama

Opis: riješen je problem s provjerom valjanosti unosa.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Učinak: napadač bi mogao otkriti izbrisane bilješke korisnika

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti povjerljivim korisničkim podacima

Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.

CVE-2026-20680: anonimni istraživač

StoreKit

Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je poboljšanim provjerama.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2026-20606: LeminLimez

UIKit

Učinak: napadač s fizičkim pristupom iPhone uređaju mogao bi snimiti i prikazati snimke zaslona osjetljivih podataka s iPhone uređaja tijekom zrcaljenja iPhone uređaja putem Mac računala

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20661: Dalibor Milanovic

WebKit

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing iz tvrtke TSDubhe i Nan Wang (@eternalsakura13)

WebKit

Učinak: web-stranica mogla bi pratiti korisnike putem web ekstenzija za Safari

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing iz tvrtke TSDubhe i Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20621: Wang Yu (Cyberserval)

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo Himanshu Bhartiju (@Xpl0itme) iz tvrtke Khatima.

Bluetooth

Na pomoći zahvaljujemo Tommasu Sacchettiju.

Contacts

Na pomoći zahvaljujemo Atulu Kishoru Jaiswalu.

Kernel

Na pomoći zahvaljujemo Josephu Ravichandranu (@0xjprx) iz tvrtke MIT CSAIL, Xinru Chiju iz tvrtke Pangu Lab.

libpthread

Na pomoći zahvaljujemo Fabianu Anemoneu.

Managed Configuration

Na pomoći zahvaljujemo tvrtki kado.

NetworkExtension

Na pomoći zahvaljujemo Gongyu Mau (@Mezone0).

Shortcuts

Na pomoći zahvaljujemo Robertu Reichelu.

Transparency

Zahvaljujemo na pomoći Wojciechu Regułi (@_rggi) (SecuRing) (wojciechregula.blog).

Wallet

Na pomoći zahvaljujemo Aaronu Schlittu (@aaron_sfn) iz tvrtke Hasso Plattner Institute, Cybersecurity – Mobile & Wireless, Jacobu Prezantu (prezant.us), Lorenzu Santinaju (@BigNerd95) i Marcu Bartoliju (@wsxarcher).

WebKit

Na pomoći zahvaljujemo Davidu Woodu, EntryHi, Luiginu Camastri (Aisle Research), Stanislavu Fortu (Aisle Research), Vsevolodu Kokorinu (Slonser) iz tvrtke Solidlab i Jorianu Woltjeru.

Widgets

Na pomoći zahvaljujemo Marcelu Voßu, Serok Çelik.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 16. veljače 2026.