Om sikkerhetsinnholdet i iOS 26.4 og iPadOS 26.4

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 26.4 og iPadOS 26.4.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iOS 26.4 og iPadOS 26.4

Utgitt 24. mars 2026

802.1X

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forstyrre nettverkstrafikk

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28865: Héloïse Gollier og Mathy Vanhoef (KU Leuven)

Accounts

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28877: Rosyna Keller fra Totally Not Malicious Software

App Protection

Tilgjengelig for: iPhone 11 og nyere

Virkning: En angriper med fysisk tilgang til en iOS-enhet med Beskyttelse av stjålet enhet aktivert kan få tilgang til biometri-beskyttede apper ved bruk av koden

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28895: Adrián Pérez Martínez, Uluk Abylbekov og Zack Tickman

Oppføring oppdatert 9. april 2026

Audio

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2026-28879: Justin Cohen fra Google

Audio

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2026-28822: Jex Amro

Baseband

Virkning: En ekstern angriper kan forårsake uventet avslutning av apper

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang og Yongdae Kim @ SysSec, KAIST

Baseband

Tilgjengelig for: iPhone 16e

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28875: Tuan D. Hoang og Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret inndatavalidering.

CVE-2026-28894: en anonym forsker

Clipboard

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Virkning: Behandling av en lydstrøm i en ondsinnet mediefil kan avslutte prosessen

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2026-20690: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreUtils

Virkning: En bruker i en privilegert nettverksposisjon kan forårsake tjenestenekt

Beskrivelse: Derefereringen av en nullreferanse ble løst med forbedret validering av inndata.

CVE-2026-28886: Etienne Charron (Renault) og Victoria Martini (Renault)

Crash Reporter

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Et personvernproblem ble løst ved å fjerne sensitive data.

CVE-2026-28878: Zhongcheng Li fra IES Red Team

curl

Virkning: Det var et problem i curl som kunne føre til ubevisst sending av sensitiv informasjon via en feil tilkobling

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-14524

DeviceLink

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et tolkningsproblem i håndteringen av katalogbaner ble løst gjennom forbedret banevalidering.

CVE-2026-28876: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

GeoServices

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2026-28870: XiguaSec

iCloud

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2026-28880: Zhongcheng Li fra IES Red Team

CVE-2026-28833: Zhongcheng Li fra IES Red Team

ImageIO

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-64505

Kernel

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2026-28868: 이동하 (Lee Dong Ha fra BoB 0xB6)

Kernel

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28882: Ilias Morad (A2nkF) fra Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Virkning: Det er ikke sikkert at «Skjul IP-adresse» og «Blokker alt eksternt innhold» gjelder for alt e-postinnhold

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av brukerinnstillinger.

CVE-2026-20692: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

Printing

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2026-20688: wdszzml og Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Virkning: En lokal angriper kan få tilgang til brukerens nøkkelringobjekter

Beskrivelse: Problemet ble løst gjennom forbedret rettighetskontroll.

CVE-2026-28864: Alex Radocea

Siri

Virkning: En angriper med fysisk tilgang til en låst enhet kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2026-28856: En anonym forsker

Telephony

Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28858: Hazem Issa og Yongdae Kim @ SysSec, KAIST

UIFoundation

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.

CVE-2026-28852: Caspian Tarafdar

WebKit

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Virkning: Behandling av skadelig nettinnhold kan omgå regelen for samme opprinnelse (Same Origin)

Beskrivelse: Et problem med kryssopprinnelse Navigation-API-en ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Virkning: Besøk på et skadelig nettsted kan føre til et angrep med skripting mellom nettsteder

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky og Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Virkning: Et skadelig nettsted kan være i stand til å få tilgang til håndteringsfunksjoner for skriptmeldinger beregnet for andre opphav

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu og Shuaike Dong fra Ant Group Infrastructure Security Team

WebKit

Virkning: Et skadelig nettsted kan behandle begrenset nettinnhold utenfor sandkassen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Virkning: Et skadelig nettsted kan samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ytterligere anerkjennelser

Accessibility

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India og Jacob Prezant (prezant.us) for hjelpen.

AirPort

Vi vil gjerne takke Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari og Omid Rezaii for hjelpen.

App Protection

Vi vil gjerne takke Andr.Ess for hjelpen.

Bluetooth

Vi vil gjerne takke Hamid Mahmoud for hjelpen.

Captive Network

Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) for hjelpen.

CipherML

Vi vil gjerne takke Nils Hanff (@nils1729@chaos.social) fra Hasso Plattner Institute for hjelpen.

CloudAttestation

Vi vil gjerne takke Suresh Sundaram og Willard Jansen for hjelpen.

CoreUI

Vi vil gjerne takke Peter Malone for hjelpen.

Find My

Vi vil gjerne takke Salemdomain for hjelpen.

GPU Drivers

Vi vil gjerne takke Jian Lee (@speedyfriend433) for hjelpen.

ICU

Vi vil gjerne takke Jian Lee (@speedyfriend433) for hjelpen.

Kernel

Vi vil gjerne takke DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville fra Fuzzinglabs, Patrick Ventuzelo fra Fuzzinglabs, Robert Tran og Suresh Sundaram for hjelpen.

libarchive

Vi vil gjerne takke Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs samt Arni Hardarson for hjelpen.

libc

Vi vil gjerne takke Vitaly Simonovich for hjelpen.

Libnotify

Vi vil gjerne takke Ilias Morad (@A2nkF_) for hjelpen.

LLVM

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

mDNSResponder

Vi vil gjerne takke William Mather for hjelpen.

Messages

Vi vil gjerne takke JZ for hjelpen.

MobileInstallation

Vi vil gjerne takke Gongyu Ma (@Mezone0) for hjelpen.

Music

Vi vil gjerne takke Mohammad Kaif (@_mkahmad | kaif0x01) for hjelpen.

NetworkExtension

Vi vil gjerne takke Jianfeng Chen fra yq12260 hos Intretech for hjelpen.

Notes

Vi vil gjerne takke Dawuge fra Shuffle Team og Hunan University for hjelpen.

Notifications

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) ved Lakshmi Narain College of Technology Bhopal i India for hjelpen.

ppp

Vi vil gjerne takke Dave G. for hjelpen.

Quick Look

Vi vil gjerne takke Wojciech Regula fra SecuRing (wojciechregula.blog) og en anonym forsker for hjelpen.

Safari

Vi vil gjerne takke @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad og Yair for hjelpen.

Safari Private Browsing

Vi vil gjerne takke Jaime Gallego Matud for hjelpen.

Shortcuts

Vi vil gjerne takke Waleed Barakat (@WilDN00B) og Paul Montgomery (@nullevent) for hjelpen.

Siri

Vi vil gjerne takke Anand Mallaya, teknisk konsulent i Anand Mallaya and Co., Harsh Kirdolia og Hrishikesh Parmar, som selvstendig næringsdrivende, for hjelpen.

Spotlight

Vi vil gjerne takke Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group og Zack Tickman for hjelpen.

Status Bar

Vi vil gjerne takke Sahel Alemi for hjelpen.

Telephony

Vi vil gjerne takke Xue Zhang, Yi Chen for hjelpen.

Time Zone

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Safran Mumbai India for hjelpen.

UIKit

Vi vil gjerne takke AEC, Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 og incredincomp for hjelpen.

Wallet

Vi vil gjerne takke Zhongcheng Li fra IES Red Team hos ByteDance for hjelpen.

Web Extensions

Vi vil gjerne takke Carlos Jeurissen og Rob Wu (robwu.nl) for hjelpen.

WebKit

Vi vil gjerne takke Vamshi Paili, greenbynox og en anonym forsker for hjelpen.

WebKit Process Model

Vi vil gjerne takke Joseph Semaan for hjelpen.

Wi-Fi

Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) og en anonym forsker for hjelpen.

Wi-Fi Connectivity

Vi vil gjerne takke Alex Radocea fra Supernetworks, Inc for hjelpen.

Widgets

Vi vil gjerne takke Marcel Voß, Mitul Pranjay og Serok Çelik for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 14. april 2026