Informazioni sui contenuti di sicurezza di iOS 26.4 e iPadOS 26.4

In questo documento vengono descritti i contenuti di sicurezza di iOS 26.4 e iPadOS 26.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 26.4 e iPadOS 26.4

Data di rilascio: 24 marzo 2026

802.1X

Disponibile per: iPhone 11 e successivi, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (8a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

Accounts

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28877: Rosyna Keller di Totally Not Malicious Software

App Protection

Disponibile per: iPhone 11 e successivi

Impatto: un utente malintenzionato con accesso fisico a un dispositivo iOS con la funzione “Protezione del dispositivo rubato” abilitata può essere in grado di accedere alle app protette tramite biometric gating con il codice.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2026-28895: Zack Tickman

Audio

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28879: Justin Cohen di Google

Audio

Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28822: Jex Amro

Baseband

Impatto: un utente malintenzionato potrebbe causare la chiusura improvvisa dell'app

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang e Yongdae Kim @ SysSec, KAIST

Baseband

Disponibile per: iPhone 16e

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2026-28875: Tuan D. Hoang e Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28894: un ricercatore anonimo

Clipboard

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Impatto: l’elaborazione di uno stream audio in un file multimediale dannoso potrebbe causare l’interruzione del processo.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-20690: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

CoreUtils

Impatto: un utente in una posizione privilegiata nella rete potrebbe causare l'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: un problema di privacy è stato risolto rimuovendo i dati sensibili.

CVE-2026-28878: Zhongcheng Li di IES Red Team

curl

Impatto: esisteva un problema in curl che poteva comportare l’invio involontario di informazioni sensibili tramite una connessione errata.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-14524

DeviceLink

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2026-28876: Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs

GeoServices

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: una perdita di informazioni è stata risolta attraverso una convalida aggiuntiva.

CVE-2026-28870: XiguaSec

iCloud

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-28880: Zhongcheng Li di IES Red Team

CVE-2026-28833: Zhongcheng Li di IES Red Team

ImageIO

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

CVE-2025-64505

Kernel

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-28868: 이동하 (Lee Dong Ha di BoB 0xB6)

Kernel

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: questo problema è stato risolto attraverso una migliore autenticazione.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2026-28882: Ilias Morad (A2nkF) di Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Impatto: “Nascondi indirizzo IP” e “Blocca tutto il contenuto remoto” potrebbero non applicarsi a tutti i contenuti dei messaggi email.

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione delle preferenze dell'utente.

CVE-2026-20692: Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs

Printing

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2026-20688: wdszzml e Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Impatto: un utente malintenzionato locale può ottenere l'accesso agli elementi del portachiavi dell'utente

Descrizione: il problema è stato risolto con un migliore controllo delle autorizzazioni.

CVE-2026-28864: Alex Radocea

Siri

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: il problema è stato risolto attraverso una migliore autenticazione.

CVE-2026-28856: un ricercatore anonimo

Telephony

Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2026-28858: Hazem Issa e Yongdae Kim @ SysSec, KAIST

UIFoundation

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28852: Caspian Tarafdar

WebKit

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.

Descrizione: un problema multiorigine nell'API Navigation è stato risolto attraverso una migliore convalida dell'input.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Impatto: l'accesso a un sito web dannoso può causare un attacco tramite script da altri siti.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Impatto: un sito web dannoso può essere in grado di accedere ai gestori di messaggi di script destinati ad altre origini.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu e Shuaike Dong di Ant Group Infrastructure Security Team

WebKit

Impatto: un sito web dannoso può essere in grado di elaborare contenuti web con restrizioni al di fuori della sandbox.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India, Jacob Prezant (prezant.us) per l’assistenza.

AirPort

Ringraziamo Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii per l’assistenza.

App Protection

Ringraziamo Andr.Ess per l'assistenza.

Bluetooth

Ringraziamo Hamid Mahmoud per l’assistenza.

Captive Network

Ringraziamo Kun Peeks (@SwayZGl1tZyyy) per l'assistenza.

CipherML

Ringraziamo Nils Hanff (@nils1729@chaos.social) dell’Hasso Plattner Institute per l’assistenza.

CloudAttestation

Ringraziamo Suresh Sundaram, Willard Jansen per l’assistenza.

CoreUI

Ringraziamo Peter Malone per l’assistenza.

Find My

Ringraziamo Salemdomain per l’assistenza.

GPU Drivers

Ringraziamo Jian Lee (@speedyfriend433) per l’assistenza.

ICU

Ringraziamo Jian Lee (@speedyfriend433) per l’assistenza.

Kernel

Ringraziamo DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville di Fuzzinglabs, Patrick Ventuzelo di Fuzzinglabs, Robert Tran, Suresh Sundaram per l’assistenza.

libarchive

Ringraziamo Andreas Jaegersberger & Ro Achterberg di Nosebeard Labs, Arni Hardarson per l’assistenza.

libc

Ringraziamo Vitaly Simonovich per l’assistenza.

Libnotify

Ringraziamo Ilias Morad (@A2nkF_) per l’assistenza.

LLVM

Ringraziamo Nathaniel Oh (@calysteon) per l'assistenza.

mDNSResponder

Ringraziamo William Mather per l’assistenza.

Messages

Ringraziamo JZ per l’assistenza.

MobileInstallation

Ringraziamo Gongyu Ma (@Mezone0) per l'assistenza.

Music

Ringraziamo Mohammad Kaif (@_mkahmad | kaif0x01) per l’assistenza.

NetworkExtension

Ringraziamo Jianfeng Chen di yq12260 presso Intretech per l’assistenza.

Notes

Ringraziamo Dawuge di Shuffle Team e Hunan University per l’assistenza.

Notifications

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.

ppp

Ringraziamo Dave G. per l'assistenza.

Quick Look

Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog), un ricercatore anonimo per l’assistenza.

Safari

Ringraziamo @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair per l’assistenza.

Safari Private Browsing

Ringraziamo Jaime Gallego Matud per l’assistenza.

Shortcuts

Ringraziamo Waleed Barakat (@WilDN00B) e Paul Montgomery (@nullevent) per l’assistenza.

Siri

Ringraziamo Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar di Self-Employed per l’assistenza.

Spotlight

Ringraziamo Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman per l’assistenza.

Status Bar

Ringraziamo Sahel Alemi per l’assistenza.

Telephony

Ringraziamo Xue Zhang, Yi Chen per l’assistenza.

Time Zone

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India per l'assistenza.

UIKit

Ringraziamo AEC, Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp per l’assistenza.

Wallet

Ringraziamo Zhongcheng Li di IES Red Team di ByteDance per l'assistenza.

Web Extensions

Ringraziamo Carlos Jeurissen, Rob Wu (robwu.nl) per l’assistenza.

WebKit

Ringraziamo Vamshi Paili, greenbynox e un ricercatore anonimo per l’assistenza.

WebKit Process Model

Ringraziamo Joseph Semaan per l’assistenza.

Wi-Fi

Ringraziamo Kun Peeks (@SwayZGl1tZyyy), un ricercatore anonimo per l’assistenza.

Wi-Fi Connectivity

Ringraziamo Alex Radocea di Supernetworks, Inc. per l’assistenza.

Widgets

Ringraziamo Marcel Voß, Mitul Pranjay, Serok Çelik per l’assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 1 aprile 2026