Informacije o sigurnosnom sadržaju sustava iOS 26.4 i iPadOS 26.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 26.4 i iPadOS 26.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 26.4 i iPadOS 26.4

Objavljeno 24. ožujka 2026.

802.1X

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28865: Héloïse Gollier i Mathy Vanhoef (KU Leuven)

Accounts

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

App Protection

Dostupno za: iPhone 11 i noviji

Učinak: napadač s fizičkim pristupom uređaju sa sustavom iOS s omogućenom postavkom Zaštita ukradenog uređaja mogao bi pomoću šifre pristupiti zaštićenim aplikacijama koje upotrebljavaju biometrijsku provjeru

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28895: Zack Tickman

Audio

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28879: Justin Cohen (Google)

Audio

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28822: Jex Amro

Baseband

Učinak: udaljeni napadači mogli su izazvati neočekivano zatvaranje aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang i Yongdae Kim (SysSec, KAIST)

Baseband

Dostupno za: iPhone 16e

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28875: Tuan D. Hoang i Yongdae Kim (KAIST SysSec Lab)

Calling Framework

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28894: anonimni istraživač

Clipboard

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Učinak: obrada audiostreama u zlonamjerno izrađenoj medijskoj datoteci može prekinuti postupak

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-20690: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreUtils

Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2026-28886: Etienne Charron (Renault) i Victoria Martini (Renault)

Crash Reporter

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Učinak: postojao je problem u alatu curl koji može rezultirati nenamjernim slanjem osjetljivih podataka putem pogrešne veze

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-14524

DeviceLink

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2026-28876: Andreas Jaegersbergeri i Ro Achterberg (Nosebeard Labs)

GeoServices

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28870: XiguaSec

iCloud

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-64505

Kernel

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28868: 이동하 (Lee Dong Ha (BoB 0xB6))

Kernel

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: ovaj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28882: Ilias Morad (A2nkF) (Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Mail

Učinak: „Sakrij IP adresu” i „Blokiraj sav daljinski sadržaj” možda se neće primijeniti na sav sadržaj e-mail poruka

Opis: problem s privatnosti riješen je poboljšanim rukovanjem korisničkim postavkama.

CVE-2026-20692: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

Printing

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2026-20688: wdszzml i Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Učinak: lokalni napadač mogao je dobiti pristup korisnikovim stavkama privjeska ključeva

Opis: problem je riješen boljom provjerom dozvola.

CVE-2026-28864: Alex Radocea

Siri

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28856: anonimni istraživač

Telephony

Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28858: Hazem Issa i Yongdae Kim (SysSec, KAIST)

UIFoundation

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28852: Caspian Tarafdar

WebKit

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Učinak: obradom zlonamjernog web-sadržaja može se zaobići pravilo istog podrijetla

Opis: problem više izvora u API-ju za navigaciju riješen je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem na više web-mjesta

Opis: logički problem riješen je poboljšanim provjerama.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky i Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Učinak: zlonamjerno web-mjesto moglo bi pristupiti rukovateljima poruke skripte namijenjenima za druge izvore

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu i Shuaike Dong (Ant Group Infrastructure Security Team)

WebKit

Učinak: zlonamjerno web-mjesto moglo bi obraditi zabranjeni web-sadržaj izvan sigurnosne ograde

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India), Jacobu Prezantu (prezant.us).

AirPort

Na pomoći zahvaljujemo Yasharu Shahinzadehu, Samanu Ebrahimnezhadu, Amiru Safariju i Omidu Rezaiiju.

App Protection

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Bluetooth

Na pomoći zahvaljujemo Hamidu Mahmoudu.

Captive Network

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).

CipherML

Na pomoći zahvaljujemo Nilsu Hanffu (@nils1729@chaos.social) (Hasso Plattner Institute).

CloudAttestation

Na pomoći zahvaljujemo Sureshu Sundaramu i Willardu Jansenu.

CoreUI

Na pomoći zahvaljujemo Peteru Maloneu.

Find My

Na pomoći zahvaljujemo Salemdomainu.

GPU Drivers

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

ICU

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

Kernel

Na pomoći zahvaljujemo DARKNAVY (@DarkNavyOrg), Kylianu Boulardu De Pouquevilleu (Fuzzinglabs), Patricku Ventuzelu (Fuzzinglabs), Robertu Tranu i Sureshu Sundaramu.

libarchive

Na pomoći zahvaljujemo Andreasu Jaegersbergeru i Rou Achterbergu (Nosebeard Labs) te Arniju Hardarsonu.

libc

Na pomoći zahvaljujemo Vitalyju Simonovichu.

Libnotify

Na pomoći zahvaljujemo Iliasu Moradu (@A2nkF_).

LLVM

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

mDNSResponder

Na pomoći zahvaljujemo Williamu Matheru.

Messages

Na pomoći zahvaljujemo korisniku JZ.

MobileInstallation

Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).

Music

Na pomoći zahvaljujemo Mohammadu Kaifu (@_mkahmad | kaif0x01).

NetworkExtension

Na pomoći zahvaljujemo Jianfengu Chenu (Intretech, yq12260).

Notes

Na pomoći zahvaljujemo Dawugeu (Shuffle Team, Hunan University).

Notifications

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

ppp

Na pomoći zahvaljujemo korisniku Dave G.

Quick Look

Na pomoći zahvaljujemo Wojciechu Reguli (SecuRing, wojciechregula.blog), anonimnom istraživaču.

Safari

Na pomoći zahvaljujemo korisnicima @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair.

Safari Private Browsing

Na pomoći zahvaljujemo Jaimeu Gallegu Matudu.

Shortcuts

Na pomoći zahvaljujemo Waleedu Barakatu (@WilDN00B) i Paulu Montgomeryju (@nullevent).

Siri

Na pomoći zahvaljujemo Anandu Mallayi, tehničkom savjetniku iz tvrtke Anand Mallaya and Co., Harshu Kirdoliji te Hrishikeshu Parmaru (Self-Employed).

Spotlight

Na pomoći zahvaljujemo Bilgeu Kaanu Mızraku (Claude & Friends: Risk Analytics Research Group) te Zacku Tickmanu.

Status Bar

Na pomoći zahvaljujemo Sahelu Alemiju.

Telephony

Na pomoći zahvaljujemo Xue Zhang i Yiju Chenu.

Time Zone

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India).

UIKit

Na pomoći zahvaljujemo AEC-u, Abhayu Kailasiji (@abhay_kailasia) iz tvrtke Safran Mumbai India, Benu Gallagheru, Bishalu Kafleu (@whoisbishal.k), Carlosu Luni (Ministarstvo mornarice SAD-a), Daliboru Milanoviću, Darenu Goodchildu, JS-u De Mattei, Maxwellu Garnu, Zacku Tickmanu, fuyuu12 i incredincompu.

Wallet

Na pomoći zahvaljujemo korisniku Zhongcheng Li (IES Red Team, ByteDance).

Web Extensions

Na pomoći zahvaljujemo Carlosu Jeurissenu i Robu Wuu (robwu.nl).

WebKit

Na pomoći zahvaljujemo Vamshiju Pailiju, greenbynoxu i anonimnom istraživaču.

WebKit Process Model

Na pomoći zahvaljujemo Josephu Semaanu.

Wi-Fi

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy), anonimnom istraživaču.

Wi-Fi Connectivity

Na pomoći zahvaljujemo Alexu Radocei (Supernetworks, Inc).

Widgets

Na pomoći zahvaljujemo Marcelu Voßu, Mitulu Pranjayu i Seroku Çeliku.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 27. ožujka 2026.