Mengenai konten keamanan iOS 26.4 dan iPadOS 26.4

Dokumen ini menjelaskan konten keamanan iOS 26.4 dan iPadOS 26.4.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

iOS 26.4 dan iPadOS 26.4

Dirilis pada 24 Maret 2026

802.1X

Tersedia untuk: iPhone 11 dan versi lebih baru, iPad Pro 12,9 inci generasi ke-3 dan versi lebih baru, iPad Pro 11 inci generasi ke-1 dan versi lebih baru, iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-8 dan versi lebih baru, serta iPad mini generasi ke-5 dan versi lebih baru

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas jaringan

Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2026-28865: Héloïse Gollier dan Mathy Vanhoef (KU Leuven)

Accounts

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-28877: Rosyna Keller dari Totally Not Malicious Software

App Protection

Tersedia untuk: iPhone 11 dan versi lebih baru

Dampak: Penyerang yang memiliki akses fisik ke perangkat iOS yang mengaktifkan Perlindungan Perangkat Curian mungkin dapat mengakses App yang Dilindungi dengan pengaman biometrik menggunakan kode sandi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-28895: Adrián Pérez Martínez, Uluk Abylbekov, dan Zack Tickman

Entri diperbarui pada 09 April 2026

Audio

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2026-28879: Justin Cohen dari Google

Audio

Dampak: Penyerang mungkin dapat mengakibatkan app berhenti secara tiba-tiba

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-28822: Jex Amro

Baseband

Dampak: Penyerang jarak jauh dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang, dan Yongdae Kim @ SysSec, KAIST

Baseband

Tersedia untuk: iPhone 16e

Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-28875: Tuan D. Hoang dan Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-28894: peneliti anonim

Clipboard

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Dampak: Memproses streaming audio di file media perusak yang berbahaya dapat mengakhiri prosesnya

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20690: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

CoreUtils

Dampak: Pengguna di posisi jaringan yang memiliki hak istimewa mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah dereferensi penunjuk null telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-28886: Etienne Charron (Renault) dan Victoria Martini (Renault)

Crash Reporter

Dampak: App tertentu mungkin dapat menghitung app yang diinstal pengguna

Deskripsi: Masalah privasi telah diatasi dengan menghapus data sensitif.

CVE-2026-28878: Zhongcheng Li dari IES Red Team

curl

Dampak: Terdapat masalah di curl yang dapat menyebabkan pengiriman informasi sensitif yang tidak disengaja melalui koneksi yang salah

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2025-14524

DeviceLink

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.

CVE-2026-28876: Andreas Jaegersberger & Ro Achterberg dari Nosebeard Labs

GeoServices

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Kebocoran informasi telah diatasi dengan validasi tambahan.

CVE-2026-28870: XiguaSec

iCloud

Dampak: App tertentu mungkin dapat menghitung app yang diinstal pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-28880: Zhongcheng Li dari IES Red Team

CVE-2026-28833: Zhongcheng Li dari IES Red Team

ImageIO

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

CVE-2025-64505

Kernel

Dampak: App mungkin dapat mengungkapkan memori kernel

Deskripsi: Masalah pencatatan telah diatasi dengan penyamaran data yang ditingkatkan.

CVE-2026-28868: 이동하 (Lee Dong Ha dari BoB 0xB6)

Kernel

Dampak: App dapat membocorkan status kernel yang bersifat rahasia

Deskripsi: Masalah ini telah diatasi dengan autentikasi yang ditingkatkan.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Dampak: App dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Dampak: App tertentu mungkin dapat menghitung app yang diinstal pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-28882: Ilias Morad (A2nkF) dari Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Dampak: Fitur "Sembunyikan Alamat IP" dan "Blokir Semua Konten Jarak Jauh" mungkin tidak berlaku untuk semua konten mail

Deskripsi: Masalah privasi telah diatasi dengan penanganan preferensi pengguna yang ditingkatkan.

CVE-2026-20692: Andreas Jaegersberger & Ro Achterberg dari Nosebeard Labs

Printing

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2026-20688: wdszzml dan Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Dampak: App mungkin dapat mengambil sidik jari pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Dampak: Penyerang lokal dapat memperoleh akses ke item Rantai Kunci milik pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin yang lebih baik.

CVE-2026-28864: Alex Radocea

Siri

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah telah diatasi dengan autentikasi yang ditingkatkan.

CVE-2026-28856: peneliti anonim

Telephony

Dampak: Pengguna jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-28858: Hazem Issa dan Yongdae Kim @ SysSec, KAIST

UIFoundation

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Tumpukan kelebihan telah diatasi dengan validasi input yang ditingkatkan.

CVE-2026-28852: Caspian Tarafdar

WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat melewati Kebijakan Same Policy

Deskripsi: Masalah lintas sumber di API Navigasi telah diatasi dengan validasi input yang ditingkatkan.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Dampak: Mengunjungi situs web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Dampak: Situs web berbahaya mungkin dapat mengakses handler pesan skrip yang ditujukan untuk asal lain.

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu dan Shuaike Dong dari Ant Group Infrastructure Security Team

WebKit

Dampak: Situs web yang berbahaya mungkin dapat memproses konten web yang dibatasi di luar sandbox

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Dampak: Halaman web perusak yang berbahaya mungkin dapat mengidentifikasi pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ucapan terima kasih tambahan

Accessibility

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Safran Mumbai India, Jacob Prezant (prezant.us) atas bantuannya.

AirPort

Kami ingin berterima kasih kepada Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii atas bantuan mereka.

App Protection

Kami ingin mengucapkan terima kasih kepada Andr.Ess atas bantuannya.

Bluetooth

Kami ingin berterima kasih kepada Hamid Mahmoud atas bantuannya.

Captive Network

Kami ingin mengucapkan terima kasih kepada Kun Peeks (@SwayZGl1tZyyy) atas bantuannya.

CipherML

Kami ingin mengucapkan terima kasih kepada Nils Hanff (@nils1729@chaos.social) dari Hasso Plattner Institute atas bantuannya.

CloudAttestation

Kami ingin berterima kasih kepada Suresh Sundaram, Willard Jansen atas bantuan mereka.

CoreUI

Kami ingin berterima kasih kepada Peter Malone atas bantuannya.

Find My

Kami ingin berterima kasih kepada Salemdomain atas bantuannya.

GPU Drivers

Kami ingin berterima kasih kepada Jian Lee (@speedyfriend433) atas bantuannya.

ICU

Kami ingin berterima kasih kepada Jian Lee (@speedyfriend433) atas bantuannya.

Kernel

Kami ingin berterima kasih kepada DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville dari Fuzzinglabs, Patrick Ventuzelo dari Fuzzinglabs, Robert Tran, Suresh Sundaram atas bantuan mereka.

libarchive

Kami ingin berterima kasih kepada Andreas Jaegersberger & Ro Achterberg dari Nosebeard Labs, Arni Hardarson atas bantuan mereka.

libc

Kami ingin berterima kasih kepada Vitaly Simonovich atas bantuannya.

Libnotify

Kami ingin berterima kasih kepada Ilias Morad (@A2nkF_) atas bantuannya.

LLVM

Kami ingin mengucapkan terima kasih kepada Nathaniel Oh (@calysteon) atas bantuannya.

mDNSResponder

Kami ingin mengucapkan terima kasih kepada William Mather atas bantuannya.

Messages

Kami ingin berterima kasih kepada JZ atas bantuannya.

MobileInstallation

Kami ingin mengucapkan terima kasih kepada Gongyu Ma (@Mezone0) atas bantuannya.

Music

Kami ingin mengucapkan terima kasih kepada Mohammad Kaif (@_mkahmad | kaif0x01) atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Jianfeng Chen dari yq12260 di Intretech atas bantuannya.

Notes

Kami ingin mengucapkan terima kasih kepada Dawuge dari Shuffle Team dan Hunan University atas bantuannya.

Notifications

Kami ingin berterima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India atas bantuannya.

ppp

Kami ingin mengucapkan terima kasih kepada Dave G. atas bantuannya.

Quick Look

Kami ingin berterima kasih kepada ojciech Regula dari SecuRing (wojciechregula.blog), peneliti anonim atas bantuannya.

Safari

Kami ingin mengucapkan terima kasih kepada @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair atas bantuannya.

Safari Private Browsing

Kami ingin mengucapkan terima kasih kepada Jaime Gallego Matud atas bantuannya.

Shortcuts

Kami ingin berterima kasih kepada Waleed Barakat (@WilDN00B) dan Paul Montgomery (@nullevent) atas bantuan mereka.

Siri

Kami ingin berterima kasih kepada Anand Mallaya, konsultan teknologi, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar seorang wiraswasta atas bantuan mereka.

Spotlight

Kami ingin berterima kasih kepada Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman atas bantuan mereka.

Status Bar

Kami ingin mengucapkan terima kasih kepada Sahel Alemi atas bantuannya.

Telephony

Kami ingin mengucapkan terima kasih kepada Xue Zhang, Yi Chen atas bantuannya.

Time Zone

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Safran Mumbai India atas bantuannya.

UIKit

Kami ingin mengucapkan terima kasih kepada AEC, Abhay Kailasia (@abhay_kailasia) dari Safran Mumbai India, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp atas bantuannya.

Wallet

Kami ingin mengucapkan terima kasih kepada Zhongcheng Li dari IES Red Team di ByteDance atas bantuannya.

Web Extensions

Kami ingin berterima kasih kepada Carlos Jeurissen, Rob Wu (robwu.nl) atas bantuan mereka.

WebKit

Kami ingin mengucapkan terima kasih kepada Vamshi Paili, greenbynox, dan peneliti anonim atas bantuannya.

WebKit Process Model

Kami ingin berterima kasih kepada Joseph Semaan atas bantuannya.

Wi-Fi

Kami ingin mengucapkan terima kasih kepada Kun Peeks (@SwayZGl1tZyyy), peneliti anonim atas bantuan mereka.

Wi-Fi Connectivity

Kami ingin berterima kasih kepada Alex Radocea dari Supernetworks, Inc atas bantuannya.

Widgets

Kami ingin berterima kasih kepada Marcel Voß, Mitul Pranjay, Serok Çelik atas bantuan mereka.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: 14 April 2026