Informazioni sui contenuti di sicurezza di iOS 26.3 e iPadOS 26.3

In questo documento vengono descritti i contenuti di sicurezza di iOS 26.3 e iPadOS 26.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 26.3 e iPadOS 26.3

Data di rilascio: 11 febbraio 2026

Accessibility

Disponibile per: iPhone 11 e successivi, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (8a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2026-20645: Wong Wee Xiang e Loh Boon Keat

Voce aggiornata il 24 marzo 2026

Accessibility

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: un problema di privacy è stato risolto rimuovendo i dati sensibili.

CVE-2026-20674: Jacob Prezant (prezant.us)

AppleKeyStore

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-20637: Johnny Franks (zeroxjf), un ricercatore anonimo

Voce aggiunta il 24 marzo 2026

Bluetooth

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe causare un'interruzione del servizio usando pacchetti Bluetooth modificati.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2026-20650: jioundai

Call History

Impatto: un utente con le estensioni dell'app Live Caller ID disattivate potrebbe subire la fuga di informazioni di identificazione alle estensioni.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) dell'Hasso Plattner Institute

CFNetwork

Impatto: un utente collegato in remoto può essere in grado di scrivere file arbitrari

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore logica.

CVE-2026-20660: Amy (amys.website)

Contacts

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: questo problema è stato risolto con una migliore convalida dell'input.

CVE-2026-20686: Atul Kishor Jaiswal

Voce aggiunta il 24 marzo 2026

CoreAudio

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-20611: anonimo in collaborazione con Trend Micro Zero Day Initiative

CoreMedia

Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2026-20617: Golden Helm Securities, Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) di Iru

Voce aggiornata il 24 marzo 2026

CoreServices

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2026-20615: Csaba Fitzl (@theevilbit) di Iru e Gergely Kalman (@gergely_kalman)

CoreServices

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: si verificava un problema nella gestione delle variabili ambientali. Il problema è stato risolto attraverso una migliore convalida.

CVE-2026-20627: un ricercatore anonimo

dyld

Impatto: un utente malintenzionato con capacità di scrittura della memoria può essere in grado di eseguire codice arbitrario. Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici sulle versioni di iOS precedenti ad iOS 26. In risposta a questa segnalazione sono stati assegnati anche i codici CVE-2025-14174 e CVE-2025-43529.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20700: Threat Analysis Group di Google

Focus

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-20668: Kirin (@Pwnrin)

Voce aggiunta il 24 marzo 2026

Game Center

Impatto: una persona può essere in grado di visualizzare informazioni sensibili dell'utente.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-20649: Asaf Cohen

ImageIO

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione delle informazioni degli utenti

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2026-20675: George Karchemsky (@gkarchemsky) in collaborazione con Trend Micro Zero Day Initiative

ImageIO

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20634: George Karchemsky (@gkarchemsky) in collaborazione con Trend Micro Zero Day Initiative

Kernel

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Impatto: un'app dannosa potrebbe essere in grado di ottenere privilegi root.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2026-20626: Keisuke Hosoda

Kernel

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto ripulendo i log.

CVE-2026-20663: Zhongcheng Li di IES Red Team

libexpat

Impatto: l'elaborazione di un file pericoloso potrebbe causare un'interruzione del servizio

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-59375

libxpc

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-20667: un ricercatore anonimo

Live Captions

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20655: Richard Hyunho Im (@richeeta) presso Route Zero Security (routezero.security)

Messages

Impatto: un comando rapido può essere in grado di eludere le restrizioni della sandbox.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dei link simbolici.

CVE-2026-20677: Ron Masas di BreakPoint.SH

MigrationKit

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf) di Lupus Nova

Voce aggiunta il 24 marzo 2026

Photos

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere alle foto dalla schermata di blocco.

Descrizione: è stato risolto un problema di convalida dell'input.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screen Time

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-28855: Kirin (@Pwnrin)

Voce aggiunta il 24 marzo 2026

Screenshots

Impatto: un utente malintenzionato può essere in grado di scoprire i messaggi eliminati di un utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Impatto: un'applicazione sandbox potrebbe essere in grado di accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.

CVE-2026-20680: un ricercatore anonimo

StoreKit

Impatto: un'app dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: un problema di privacy è stato risolto attraverso migliori controlli.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Impatto: un'app potrebbe bypassare alcune preferenze di privacy.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2026-20606: LeminLimez

UIKit

Impatto: un utente malintenzionato con accesso fisico all'iPhone potrebbe riuscire a fare e visualizzare screenshot di dati sensibili dall'iPhone durante il mirroring dell'iPhone con il Mac.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20661: Dalibor Milanovic

WebKit

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing di TSDubhe e Nan Wang (@eternalsakura13)

WebKit

Impatto: un sito web potrebbe essere in grado di monitorare gli utenti tramite le estensioni web di Safari.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing di TSDubhe e Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20621: Wang Yu di Cyberserval

Altri riconoscimenti

Accessibility

Ringraziamo Himanshu Bharti (@Xpl0itme) di Khatima per l'assistenza.

Bluetooth

Ringraziamo Tommaso Sacchetti per l'assistenza.

Kernel

Ringraziamo Joseph Ravichandran (@0xjprx) di MIT CSAIL, Xinru Chi di Pangu Lab per l'assistenza.

libpthread

Ringraziamo Fabiano Anemone per l'assistenza.

Managed Configuration

Ringraziamo kado per l'assistenza.

NetworkExtension

Ringraziamo Gongyu Ma (@Mezone0) per l'assistenza.

Notes

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Voce aggiunta il 24 marzo 2026

Shortcuts

Ringraziamo Robert Reichel per l'assistenza.

Transparency

Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog) per l'assistenza.

Wallet

Ringraziamo Aaron Schlitt (@aaron_sfn) dell'Hasso Plattner Institute, Cybersecurity - Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) e Marco Bartoli (@wsxarcher) per l'assistenza.

WebKit

Ringraziamo David Wood, EntryHi, Luigino Camastra di Aisle Research, Stanislav Fort di Aisle Research, Roman Belovitskiy, Vsevolod Kokorin (Slonser) di Solidlab e Jorian Woltjer per l'assistenza.

Voce aggiornata il 24 marzo 2026

Widgets

Ringraziamo Marcel Voß, Serok Çelik, Mitul Pranjay per l'assistenza.

Voce aggiornata il 24 marzo 2026

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 27 marzo 2026