Over de beveiligingsinhoud van iOS 26.4 en iPadOS 26.4

In dit document wordt de beveiligingsinhoud van iOS 26.4 en iPadOS 26.4 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 26.4 en iPadOS 26.4

Releasedatum: 24 maart 2026

802.1X

Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2026-28865: Héloïse Gollier en Mathy Vanhoef (KU Leuven)

Accounts

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-28877: Rosyna Keller van Totally Not Malicious Software

App Protection

Beschikbaar voor: iPhone 11 en nieuwer

Impact: een aanvaller met fysieke toegang tot een iOS-apparaat waarvoor 'Bescherming voor gestolen apparaat' is ingeschakeld, heeft met de toegangscode mogelijk toegang tot beschermde apps die biometrisch zijn beveiligd

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2026-28895: Zack Tickman

Audio

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2026-28879: Justin Cohen van Google

Audio

Impact: een aanvaller kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28822: Jex Amro

Baseband

Impact: een externe aanvaller kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang en Yongdae Kim @ SysSec, KAIST

Baseband

Beschikbaar voor: iPhone 16e

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28875: Tuan D. Hoang en Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: een denial-of-service-probleem is verholpen door verbeterde invoervalidatie.

CVE-2026-28894: een anonieme onderzoeker

Clipboard

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Impact: het verwerken van een audiostream in een kwaadwillig vervaardigd mediabestand kan het proces beëindigen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2026-20690: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreUtils

Impact: een gebruiker in een geprivilegieerde netwerkpositie kan een denial of service-aanval veroorzaken

Beschrijving: een null pointer-dereferentie is verholpen door verbeterde invoervalidatie.

CVE-2026-28886: Etienne Charron (Renault) en Victoria Martini (Renault)

Crash Reporter

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2026-28878: Zhongcheng Li van IES Red Team

curl

Impact: er was een probleem in curl dat ertoe kan leiden dat er onbedoeld gevoelige informatie wordt verstuurd via een onjuiste verbinding

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-14524

DeviceLink

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2026-28876: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

GeoServices

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2026-28870: XiguaSec

iCloud

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2026-28880: Zhongcheng Li van IES Red Team

CVE-2026-28833: Zhongcheng Li van IES Red Team

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

CVE-2025-64505

Kernel

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-28868: 이동하 (Lee Dong Ha van BoB 0xB6)

Kernel

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: dit probleem is verholpen door verbeterde authenticatie.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2026-28882: Ilias Morad (A2nkF) van Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Impact: 'Verberg IP-adres' en 'Blokkeer extern materiaal' worden mogelijk niet toegepast op alle mailinhoud

Beschrijving: er is een privacyprobleem verholpen door verbeterde verwerking van gebruikersvoorkeuren.

CVE-2026-20692: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

Printing

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2026-20688: wdszzml en Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Impact: een lokale aanvaller kan toegang verkrijgen tot sleutelhangeronderdelen van een gebruiker

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2026-28864: Alex Radocea

Siri

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: het probleem is verholpen door verbeterde authenticatie.

CVE-2026-28856: een anonieme onderzoeker

Telephony

Impact: een externe gebruiker kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28858: Hazem Issa en Yongdae Kim @ SysSec, KAIST

UIFoundation

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.

CVE-2026-28852: Caspian Tarafdar

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan het Same Origin-beleid omzeilen

Beschrijving: een navigatie-API-probleem met meerdere oorzaken is aangepakt via verbeterde invoervalidatie.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Impact: een kwaadaardige website kan toegang krijgen tot script message handlers die bedoeld zijn voor een andere oorsprong

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu en Shuaike Dong van Ant Group Infrastructure Security Team

WebKit

Impact: een kwaadaardige website kan mogelijk beperkt webmateriaal buiten de sandbox verwerken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Jacob Prezant (prezant.us) voor de hulp.

AirPort

Met dank aan Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari en Omid Rezaii voor de hulp.

App Protection

Met dank aan Andr.Ess voor de hulp.

Bluetooth

Met dank aan Hamid Mahmoud voor de hulp.

Captive Network

Met dank aan Kun Peeks (@SwayZGl1tZyyy) voor de hulp.

CipherML

Met dank aan Nils Hanff (@nils1729@chaos.social) van Hasso Plattner Institute voor de hulp.

CloudAttestation

Met dank aan Suresh Sundaram en Willard Jansen voor de hulp.

CoreUI

Met dank aan Peter Malone voor de hulp.

Find My

Met dank aan Salemdomain voor de hulp.

GPU Drivers

Met dank aan Jian Lee (@speedyfriend433) voor de hulp.

ICU

Met dank aan Jian Lee (@speedyfriend433) voor de hulp.

Kernel

Met dank aan DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville van Fuzzinglabs, Patrick Ventuzelo van Fuzzinglabs, Robert Tran, Suresh Sundaram voor de hulp.

libarchive

Met dank aan Andreas Jaegersberger en Ro Achterberg van Nosebeard Labs, Arni Hardarson voor de hulp.

libc

Met dank aan Vitaly Simonovich voor de hulp.

Libnotify

Met dank aan Ilias Morad (@A2nkF_) voor de hulp.

LLVM

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

mDNSResponder

Met dank aan William Mather voor de hulp.

Messages

Met dank aan JZ voor de hulp.

MobileInstallation

Met dank aan Gongyu Ma (@Mezone0) voor de hulp.

Music

Met dank aan Mohammad Kaif (@_mkahmad | kaif0x01) voor de hulp.

NetworkExtension

Met dank aan Jianfeng Chen van yq12260 van Intretech voor de hulp.

Notes

Met dank aan Dawuge van Shuffle Team en Hunan University voor de hulp.

Notifications

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India voor de hulp.

ppp

Met dank aan Dave G. voor de hulp.

Quick Look

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog), een anonieme onderzoeker, voor de hulp.

Safari

Met dank aan @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair voor de hulp.

Safari Private Browsing

Met dank aan Jaime Gallego Matud voor de hulp.

Shortcuts

Met dank aan Waleed Barakat (@WilDN00B) en Paul Montgomery (@nullevent) voor de hulp.

Siri

Met dank aan Anand Mallaya, technisch consultant, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, zelfstandige, voor de hulp.

Spotlight

Met dank aan Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman voor de hulp.

Status Bar

Met dank aan Sahel Alemi voor de hulp.

Telephony

Met dank aan Xue Zhang, Yi Chen voor de hulp.

Time Zone

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India voor de hulp.

UIKit

Met dank aan AEC, Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (het Amerikaanse ministerie van de Marine), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp voor de hulp.

Wallet

Met dank aan Zhongcheng Li van IES Red Team van ByteDance voor de hulp.

Web Extensions

Met dank aan Carlos Jeurissen, Rob Wu (robwu.nl) voor de hulp.

WebKit

Met dank aan Vamshi Paili, greenbynox en een anonieme onderzoeker voor de hulp.

WebKit Process Model

Met dank aan Joseph Semaan voor de hulp.

Wi-Fi

Met dank aan Kun Peeks (@SwayZGl1tZyyy), een anonieme onderzoeker, voor de hulp.

Wi-Fi Connectivity

Met dank aan Alex Radocea van Supernetworks, Inc voor de hulp.

Widgets

Met dank aan Marcel Voß, Mitul Pranjay en Serok Çelik voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 27 maart 2026