Az iOS 26.3 és az iPadOS 26.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 26.3 és az iPadOS 26.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 26.3 és iPadOS 26.3

Kiadási dátum: 2026. február 11.

Accessibility

A következőkön érhető el: iPhone 11 és újabb modellek, 12,9 hüvelykes iPad Pro (3. generáció és újabb modellek), 11 hüvelykes iPad Pro (1. generáció és újabb modellek), 3. generációs iPad Air és újabb modellek, 8. generációs iPad és újabb modellek, 5. generációs iPad mini és újabb modellek

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2026-20645: Loh Boon Keat

Accessibility

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadásos támadást tudtak előidézni létrehozott Bluetooth-csomagok segítségével.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2026-20650: jioundai

Call History

Érintett terület: A felhasználó azonosítóadatai kiszivároghattak a bővítményhez, akkor is, ha kikapcsolta az élő hívóazonosító appbővítményeit.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social, Hasso Plattner Institute)

CFNetwork

Érintett terület: A távoli felhasználók írni tudtak tetszőleges fájlokat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20611: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit, Iru)

CoreServices

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20615: Csaba Fitzl (@theevilbit, Iru) és Gergely Kalman (@gergely_kalman)

CoreServices

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hiba lépett fel a környezeti változók elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2026-20627: anonim kutató

dyld

Érintett terület: A memóriába való írás képességgel rendelkező támadók tetszőleges programkódot tudtak futtatni. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-14174 és a CVE-2025-43529 szintén ehhez a bejelentéshez kapcsolódik.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-20649: Asaf Cohen

ImageIO

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-20675: George Karchemsky (@gkarchemsky) a Trend Micro Zero Day Initiative közreműködőjeként

ImageIO

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20634: George Karchemsky (@gkarchemsky) a Trend Micro Zero Day Initiative közreműködőjeként

Kernel

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-20626: Keisuke Hosoda

Kernel

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: A naplózás megtisztításával orvosoltuk a problémát.

CVE-2026-20663: Zhongcheng Li (IES Red Team)

libexpat

Érintett terület: Egy rosszindulatú célból létrehozott fájl feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-59375

libxpc

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20667: anonim kutató

Live Captions

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20655: Richard Hyunho Im (@richeeta), itt: Route Zero Security (routezero.security)

Messages

Érintett terület: A parancsikonok bizonyos esetekben meg tudták kerülni a sandbox korlátozásait.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével megoldottuk a versenyhelyzetet.

CVE-2026-20677: Ron Masas (BreakPoint.SH)

Photos

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a fényképekhez.

Leírás: Elhárítottunk egy bemenet-ellenőrzési hibát.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Érintett terület: A támadók bizonyos esetekben felfedezhették a felhasználó törölt jegyzeteit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2026-20680: anonim kutató

StoreKit

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2026-20606: LeminLimez

UIKit

Érintett terület: Az iPhone-hoz fizikai hozzáféréssel rendelkező támadók bizonyos esetekben képernyőképeket készíthettek és tekinthettek meg az iPhone-ról a Mac iPhone-tükrözés funkciójában.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20661: Dalibor Milanovic

WebKit

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing (TSDubhe) és Nan Wang (@eternalsakura13)

WebKit

Érintett terület: A webhelyek a Safari webes bővítményein keresztül bizonyos esetekben képesek voltak követni a felhasználót.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing (TSDubhe) és Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20621: Wang Yu (Cyberserval)

További köszönetnyilvánítás

Accessibility

Köszönjük Himanshu Bharti (@Xpl0itme, Khatima) segítségét.

Bluetooth

Köszönjük Tommaso Sacchetti segítségét.

Contacts

Köszönjük Atul Kishor Jaiswal segítségét.

Kernel

Köszönjük Joseph Ravichandran (@0xjprx, MIT CSAIL), Xinru Chi (Pangu Lab) segítségét.

libpthread

Köszönjük Fabiano Anemone segítségét.

Managed Configuration

Köszönjük kado segítségét.

NetworkExtension

Köszönjük Gongyu Ma (@Mezone0) segítségét.

Shortcuts

Köszönjük Robert Reichel segítségét.

Transparency

Köszönjük Wojciech Regula (SecuRing, wojciechregula.blog) segítségét.

Wallet

Köszönjük Aaron Schlitt (@aaron_sfn, Hasso Plattner Institute, Cybersecurity - Mobile & Wireless), Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) és Marco Bartoli (@wsxarcher) segítségét.

WebKit

Köszönjük David Wood, EntryHi, Luigino Camastra (Aisle Research), Stanislav Fort (Aisle Research), Vsevolod Kokorin (Slonser, Solidlab) és Jorian Woltjer segítségét.

Widgets

Köszönjük Marcel Voß, Serok Çelik segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2026. február 16.