Zawartość związana z zabezpieczeniami w systemach iOS 26.3 i iPadOS 26.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 26.3 i iPadOS 26.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 26.3 i iPadOS 26.3

Wydano 11 lutego 2026 r.

Accessibility

Dostępne dla: iPhone 11 i nowsze, iPad Pro 12,9 cala 3. generacji i nowsze, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 8. generacji i nowsze oraz iPad mini 5. generacji i nowsze

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-20645: Wong Wee Xiang i Loh Boon Keat

Wpis uaktualniono 24 marca 2026 r.

Accessibility

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: rozwiązano problem z prywatnością przez usunięcie poufnych danych.

CVE-2026-20674: Jacob Prezant (prezant.us)

AppleKeyStore

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-20637: Johnny Franks (zeroxjf), anonimowy badacz

Wpis dodano 24 marca 2026 r.

Bluetooth

Zagrożenie: Atakująca osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi” z użyciem spreparowanych pakietów Bluetooth.

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2026-20650: jioundai

Call History

Zagrożenie: U użytkownika, który ma wyłączone rozszerzenia aplikacji ID dzwoniącego na żywo, może dojść do wycieku danych identyfikacyjnych do rozszerzeń

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) z Hasso Plattner Institute

CFNetwork

Zagrożenie: użytkownik zdalny może być w stanie zapisywać dowolne pliki.

Opis: usunięto błąd w procedurze obsługi ścieżek przez poprawienie obsługi procesów logicznych.

CVE-2026-20660: Amy (amys.website)

Contacts

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd usunięto przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-20686: Atul Kishor Jaiswal

Wpis dodano 24 marca 2026 r.

CoreAudio

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-20611: Anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2026-20617: Golden Helm Securities, Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) z Iru

Wpis uaktualniono 24 marca 2026 r.

CoreServices

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2026-20615: Csaba Fitzl (@theevilbit) z Iru i Gergely Kalman (@gergely_kalman)

CoreServices

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: w procedurze obsługi zmiennych środowiskowych występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2026-20627: Anonimowy badacz

dyld

Zagrożenie: Atakująca osoba z możliwością zapisu do pamięci może być w stanie wykonać dowolny kod. Apple ma świadomość, że problem mógł być wykorzystywany w bardzo zaawansowanych atakach na określone osoby fizyczne z systemem iOS starszym niż iOS 26. W odpowiedzi na to zgłoszenie wydano również identyfikatory CVE-2025-14174 i CVE-2025-43529.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2026-20700: Threat Analysis Group firmy Google

Focus

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-20668: Kirin (@Pwnrin)

Wpis dodano 24 marca 2026 r.

Game Center

Zagrożenie: użytkownik może wyświetlić poufne informacje użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-20649: Asaf Cohen

ImageIO

Zagrożenie: przetwarzanie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2026-20675: George Karchemsky (@gkarchemsky) w ramach programu Zero Day Initiative firmy Trend Micro.

ImageIO

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20634: George Karchemsky (@gkarchemsky) w ramach programu Zero Day Initiative firmy Trend Micro.

Kernel

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2026-20626: Keisuke Hosoda

Kernel

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: ten błąd naprawiono przez wyczyszczenie rejestru.

CVE-2026-20663: Zhongcheng Li from IES Red Team

libexpat

Zagrożenie: Przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-59375

libxpc

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2026-20667: Anonimowy badacz

Live Captions

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-20655: Richard Hyunho Im (@richeeta) at Route Zero Security (routezero.security)

Messages

Zagrożenie: skrót może być w stanie obejść ograniczenia piaskownicy.

Opis: Naprawiono lukę typu race condition (sytuacja wyścigu) przez usprawnienie mechanizmu obsługi dowiązań symbolicznych.

CVE-2026-20677: Ron Masas z BreakPoint.SH

MigrationKit

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2026-20694: Rodolphe Brunetti (@eisw0lf) z Lupus Nova

Wpis dodano 24 marca 2026 r.

Photos

Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może uzyskać dostęp do zdjęć z poziomu ekranu blokady

Opis: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screen Time

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-28855: Kirin (@Pwnrin)

Wpis dodano 24 marca 2026 r.

Screenshots

Zagrożenie: osoba atakująca może być w stanie odkryć skasowane notatki użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Zagrożenie: aplikacja w piaskownicy może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.

CVE-2026-20680: Anonimowy badacz

StoreKit

Zagrożenie: aplikacja może być w stanie określić, jakie inne aplikacje zostały zainstalowane przez użytkownika.

Opis: naprawiono błąd prywatności przez poprawienie procedur sprawdzania.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2026-20606: LeminLimez

UIKit

Zagrożenie: osoba atakująca mająca fizyczny dostęp do iPhone’a podczas korzystania z funkcji Klonowanie iPhone’a na Macu może być w stanie robić i przeglądać zrzuty ekranu zawierające poufne dane.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-20661: Dalibor Milanovic

WebKit

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing z TSDubhe i Nan Wang (@eternalsakura13)

WebKit

Zagrożenie: strona internetowa może być w stanie śledzić użytkowników poprzez rozszerzenia internetowe Safari.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing z TSDubhe i Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20621: Wang Yu z Cyberserval

Dodatkowe podziękowania

Accessibility

Dziękujemy za udzieloną pomoc: Himanshu Bharti (@Xpl0itme) z Khatima.

Bluetooth

Dziękujemy za udzieloną pomoc: Tommaso Sacchetti.

Kernel

Dziękujemy za udzieloną pomoc: Joseph Ravichandran (@0xjprx) z MIT CSAIL, Xinru Chi z Pangu Lab.

libpthread

Dziękujemy za udzieloną pomoc: Fabiano Anemone.

Managed Configuration

Dziękujemy za udzieloną pomoc: kado.

NetworkExtension

Dziękujemy za udzieloną pomoc Gongyu Ma (@Mezone0).

Notes

Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin).

Wpis dodano 24 marca 2026 r.

Shortcuts

Dziękujemy za udzieloną pomoc: Robert Reichel.

Transparency

Dziękujemy za udzieloną pomoc: Wojciech Reguła z SecuRing (wojciechregula.blog).

Wallet

Dziękujemy za udzieloną pomoc: Aaron Schlitt (@aaron_sfn) z Hasso Plattner Institute, Cybersecurity - Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) i Marco Bartoli (@wsxarcher).

WebKit

Dziękujemy za udzieloną pomoc: David Wood, EntryHi, Luigino Camastra z Aisle Research, Stanislav Fort z Aisle Research, Roman Belovitskiy, Vsevolod Kokorin (Slonser) z Solidlab i Jorian Woltjer.

Wpis uaktualniono 24 marca 2026 r.

Widgets

Dziękujemy za udzieloną pomoc: Marcel Voß, Serok Çelik, Mitul Pranjay.

Wpis uaktualniono 24 marca 2026 r.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 27 marca 2026 г.