Az iOS 26.4 és iPadOS 26.4 biztonsági változásjegyzéke

Ez a dokumentum az iOS 26.4 és iPadOS 26.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 26.4 és iPadOS 26.4

Kiadási dátum: 2026. március 24.

802.1X

A következőkön érhető el: iPhone 11 és újabb modellek, 12,9 hüvelykes iPad Pro (3. generáció és újabb modellek), 11 hüvelykes iPad Pro (1. generáció és újabb modellek), 3. generációs iPad Air és újabb modellek, 8. generációs iPad és újabb modellek, 5. generációs iPad mini és újabb modellek

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2026-28865: Héloïse Gollier és Mathy Vanhoef (KU Leuven)

Accounts

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

App Protection

A következőhöz érhető el: iPhone 11 és újabb modellek

Érintett terület: Az Ellopott eszköz védelme funkciót engedélyező iOS-készülékhez fizikai hozzáféréssel rendelkező támadó jelkóddal hozzáférhetett a biometrikus adatokkal zárolt Védett alkalmazásokhoz

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28895: Adrián Pérez Martínez, Uluk Abylbekov és Zack Tickman

A bejegyzés frissítve: 2026. április 9.

Audio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28879: Justin Cohen (Google)

Audio

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2026-28822: Jex Amro

Baseband

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang, és Yongdae Kim @ SysSec, KAIST

Baseband

A következőn érhető el: iPhone 16e

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28875: Tuan D. Hoang és Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2026-28894: anonim kutató

Clipboard

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat leállását okozta

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20690: Hossein Lotfi (@hosselot; Trend Micro Zero Day Initiative)

CoreUtils

Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2026-28886: Etienne Charron (Renault) és Victoria Martini (Renault)

Crash Reporter

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Érintett terület: A curl egy hibája miatt előfordult, hogy véletlenül nem a megfelelő kapcsolaton kerültek elküldésre a bizalmas adatok

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-14524

DeviceLink

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28876: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

GeoServices

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28870: XiguaSec

iCloud

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

CVE-2025-64505

Kernel

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28882: Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Mail

Érintett terület: Az „IP-cím elrejtése” és az „Összes távoli tartalom blokkolása” funkciók nem voltak az összes levéltartalomra alkalmazhatók.

Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2026-20692: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

Printing

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20688: wdszzml és Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a felhasználó kulcskarikán tárolt elemeihez

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2026-28864: Alex Radocea

Siri

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2026-28856: anonim kutató

Telephony

Érintett terület: A távoli felhasználók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28858: Hazem Issa és Yongdae Kim @ SysSec, KAIST

UIFoundation

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.

CVE-2026-28852: Caspian Tarafdar

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy kereszteredet-problémát a Navigation API-ban.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Érintett terület: A rosszindulató webhelyek bizonyos esetekben hozzáférhettek a más eredeteknek szánt szkriptüzenet-kezelőkhöz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu és Shuaike Dong (Ant Group Infrastructure Security Team)

WebKit

Érintett terület: A rosszindulató webhelyek bizonyos esetekben korlátozott webes tartalmakat dolgoztak fel a sandboxon kívül

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Jacob Prezant (prezant.us) segítségét.

AirPort

Köszönjük Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari és Omid Rezaii segítségét.

App Protection

Szeretnénk megköszönni Andr.Ess segítségét.

Bluetooth

Köszönjük Hamid Mahmoud segítségét.

Captive Network

Köszönjük Kun Peeks (@SwayZGl1tZyyy) segítségét.

CipherML

Köszönjük Nils Hanff (@nils1729@chaos.social, Hasso Plattner Institute) segítségét.

CloudAttestation

Köszönjük Suresh Sundaram és Willard Jansen segítségét.

CoreUI

Köszönjük Peter Malone segítségét.

Find My

Köszönjük Salemdomain segítségét.

GPU Drivers

Köszönjük Jian Lee (@speedyfriend433) segítségét.

ICU

Köszönjük Jian Lee (@speedyfriend433) segítségét.

Kernel

Köszönjük DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville (Fuzzinglabs), Patrick Ventuzelo (Fuzzinglabs), Robert Tran és Suresh Sundaram segítségét.

libarchive

Köszönjük Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs), valamint Arni Hardarson segítségét.

libc

Köszönjük Vitaly Simonovich segítségét.

Libnotify

Köszönjük Ilias Morad (@A2nkF_) segítségét.

LLVM

Köszönjük Nathaniel Oh (@calysteon) segítségét.

mDNSResponder

Köszönjük William Mather segítségét.

Messages

Köszönjük JZ segítségét.

MobileInstallation

Köszönjük Gongyu Ma (@Mezone0) segítségét.

Music

Köszönjük Mohammad Kaif (@_mkahmad | kaif0x01) segítségét.

NetworkExtension

Köszönjük Jianfeng Chen (yq12260, Intretech) segítségét.

Notes

Köszönjük Dawuge (Shuffle Team és Hunan University) segítségét.

Notifications

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopal, India) segítségét.

ppp

Szeretnénk megköszönni Dave G. segítségét.

Quick Look

Köszönjük Wojciech Regula (SecuRing, wojciechregula.blog) és egy anonim kutató segítségét.

Safari

Köszönjük @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad és Yair segítségét.

Safari Private Browsing

Köszönjük Jaime Gallego Matud segítségét.

Shortcuts

Köszönjük Waleed Barakat (@WilDN00B) és Paul Montgomery (@nullevent) segítségét.

Siri

Köszönjük Anand Mallaya (technológiai tanácsadó), Anand Mallaya and Co., Harsh Kirdolia és Hrishikesh Parmar (egyéni vállalkozó) segítségét.

Spotlight

Köszönjük Bilge Kaan Mızrak, Claude & Friends (Risk Analytics Research Group) és Zack Tickman segítségét.

Status Bar

Köszönjük Sahel Alemi segítségét.

Telephony

Köszönjük Xue Zhang, Yi Chen segítségét.

Time Zone

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

UIKit

Köszönjük AEC, Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp segítségét.

Wallet

Köszönjük Zhongcheng Li (IES Red Team, ByteDance) segítségét.

Web Extensions

Köszönjük Carlos Jeurissen és Rob Wu (robwu.nl) segítségét.

WebKit

Köszönjük Vamshi Paili, greenbynox, anonim kutató segítségét.

WebKit Process Model

Köszönjük Joseph Semaan segítségét.

Wi-Fi

Köszönjük Kun Peeks (@SwayZGl1tZyyy) és egy anonim kutató segítségét.

Wi-Fi Connectivity

Köszönjük Alex Radocea (Supernetworks, Inc) segítségét.

Widgets

Köszönjük Marcel Voß, Mitul Pranjay és Serok Çelik segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2026. április 14.