Despre conținutul de securitate din iOS 26.4 și din iPadOS 26.4

Acest document descrie conținutul de securitate din iOS 26.4 și din iPadOS 26.4.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 26.4 și iPadOS 26.4

Lansare: 24 martie 2026

802.1X

Disponibilitate pentru: iPhone 11 și modele ulterioare, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 8-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea intercepta traficul de rețea

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2026-28865: Héloïse Gollier și Mathy Vanhoef (KU Leuven)

Accounts

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-28877: Rosyna Keller de la Totally Not Malicious Software

App Protection

Disponibilitate pentru: iPhone 11 și modele ulterioare

Impact: un atacator cu access fizic la un dispozitiv iOS care are activată funcția Protecție dispozitiv furat ar putea avea acces la aplicații protejate prin date biometrice folosind un cod de acces

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2026-28895: Zack Tickman

Audio

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28879: Justin Cohen de la Google

Audio

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2026-28822: Jex Amro

Baseband

Impact: un atacator de la distanță poate provoca o închidere neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang și Yongdae Kim @ SysSec, KAIST

Baseband

Disponibilitate pentru: iPhone 16e

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28875: Tuan D. Hoang și Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării intrării.

CVE-2026-28894: un cercetător anonim

Clipboard

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Impact: procesarea unui flux audio dintr-un fișier media creat în mod rău intenționat poate opri procesul

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-20690: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CoreUtils

Impact: un utilizator cu poziție privilegiată în rețea poate cauza refuzarea serviciului (DoS)

Descriere: a fost rezolvată o problemă de anulare a referinței pentru pointerul nul cu îmbunătățirea validării.

CVE-2026-28886: Etienne Charron (Renault) și Victoria Martini (Renault)

Crash Reporter

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.

CVE-2026-28878: Zhongcheng Li de la IES Red Team

curl

Impact: a existat o problemă în curl care putea avea ca rezultat trimiterea neintenționată de informații sensibile prin intermediul unei conexiuni incorecte

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-14524

DeviceLink

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2026-28876: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

GeoServices

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o scurgere de informații a fost remediată prin validare suplimentare.

CVE-2026-28870: XiguaSec

iCloud

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2026-28880: Zhongcheng Li de la IES Red Team

CVE-2026-28833: Zhongcheng Li de la IES Red Team

ImageIO

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

CVE-2025-64505

Kernel

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-28868: 이동하 (Lee Dong Ha de la BoB 0xB6)

Kernel

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: această problemă a fost rezolvată prin îmbunătățirea autentificării.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2026-28882: Ilias Morad (A2nkF) de la Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Impact: este posibil ca funcțiile „Ascundeți adresa IP” și „Blocați tot conținutul de la distanță" să nu se aplice întregului conținut de e-mail

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a preferințelor utilizatorului.

CVE-2026-20692: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

Printing

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2026-20688: wdszzml și Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Impact: este posibil ca o aplicație să poată amprenta utilizatorul

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Impact: un atacator local poate obține acces la articole din Portchei ale unui utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite de permisiuni.

CVE-2026-28864: Alex Radocea

Siri

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: problema a fost rezolvată prin îmbunătățirea autentificării.

CVE-2026-28856: un cercetător anonim

Telephony

Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28858: Hazem Issa și Yongdae Kim @ SysSec, KAIST

UIFoundation

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de depășire a stivei alocate prin îmbunătățirea validării intrării.

CVE-2026-28852: Caspian Tarafdar

WebKit

Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Impact: procesarea conținutului unui site web rău intenționat poate ocoli Same Origin Policy

Descriere: o problemă de tip cross-origin în API-ul de navigare a fost rezolvată prin îmbunătățirea validării datelor de intrare.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Impact: accesarea unui site web creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Impact: un site web rău intenționat poate să acceseze handlere de mesaje script destinate altor origini

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu și Shuaike Dong de la Ant Group Infrastructure Security Team

WebKit

Impact: un site web rău intenționat poate să proceseze conținut web restricționat în afara din afara sandboxului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Alte mențiuni

Accessibility

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Safran Mumbai India și Jacob Prezant (prezant.us) pentru asistența acordată.

AirPort

Dorim să le mulțumim Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari și Omid Rezaii pentru asistența acordată.

App Protection

Dorim să îi mulțumim lui Andr.Ess pentru asistență.

Bluetooth

Dorim să-i mulțumim lui Hamid Mahmoud pentru asistența acordată.

Captive Network

Dorim să îi mulțumim lui Kun Peeks (@SwayZGl1tZyyy) pentru asistența acordată.

CipherML

Dorim să-i mulțumim lui Nils Hanff (@nils1729@chaos.social) de la Hasso Plattner Institute pentru asistența acordată.

CloudAttestation

Dorim să le mulțumim lui Suresh Sundaram și Willard Jansen pentru asistența acordată.

CoreUI

Dorim să-i mulțumim lui Peter Malone pentru asistența acordată.

Find My

Dorim să-i mulțumim lui Salemdomain pentru asistența acordată.

GPU Drivers

Dorim să-i mulțumim lui Jian Lee (@speedyfriend433) pentru asistența acordată.

ICU

Dorim să-i mulțumim lui Jian Lee (@speedyfriend433) pentru asistența acordată.

Kernel

Dorim să le mulțumim lui DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville de la Fuzzinglabs, Patrick Ventuzelo de la Fuzzinglabs, Robert Tran și Suresh Sundaram pentru asistența acordată.

libarchive

Dorim să le mulțumim lui Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs și lui Arni Hardarson pentru asistența acordată.

libc

Dorim să-i mulțumim lui Vitaly Simonovich pentru asistența acordată.

Libnotify

Dorim să-i mulțumim lui Ilias Morad (@A2nkF_) pentru asistența acordată.

LLVM

Dorim să-i mulțumim lui Nathaniel Oh (@calysteon) pentru asistența acordată.

mDNSResponder

Dorim să-i mulțumim lui William Mather pentru asistența acordată.

Messages

Dorim să-i mulțumim lui JZ pentru asistența acordată.

MobileInstallation

Dorim să îi mulțumim lui Gongyu Ma (@Mezone0) pentru asistență.

Music

Dorim să-i mulțumim lui Mohammad Kaif (@_mkahmad | kaif0x01) pentru asistența acordată.

NetworkExtension

Dorim să-i mulțumim lui Jianfeng Chen de la yq12260 (Intretech) pentru asistența acordată.

Notes

Dorim să le mulțumim lui Dawuge de la Shuffle Team și Hunan University pentru asistența acordată.

Notifications

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India pentru asistența acordată.

ppp

Dorim să îi mulțumim lui Dave G. pentru asistența acordată.

Quick Look

Dorim să le mulțumim lui Wojciech Regula de la SecuRing (wojciechregula.blog) și unui cercetător anonim pentru asistența acordată.

Safari

Dorim să le mulțumim lui @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad și Yair pentru asistența acordată.

Safari Private Browsing

Dorim să-i mulțumim lui Jaime Gallego Matud pentru asistența acordată.

Shortcuts

Dorim să le mulțumim lui Waleed Barakat (@WilDN00B) și Paul Montgomery (@nullevent) pentru asistența acordată.

Siri

Dorim să le mulțumim lui Anand Mallaya, consultant tehnic, Anand Mallaya și colaboratorilor, Harsh Kirdolia, Hrishikesh Parmar de Self-Employed pentru asistența acordată

Spotlight

Dorim să le mulțumim lui Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group și Zack Tickman pentru asistența acordată.

Status Bar

Dorim să-i mulțumim lui Sahel Alemi pentru asistența acordată.

Telephony

Dorim să-i mulțumim lui Xue Zhang, Yi Chen pentru asistența acordată.

Time Zone

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Safran Mumbai India pentru asistența acordată.

UIKit

Dorim să le mulțumim lui AEC, Abhay Kailasia (@abhay_kailasia) de la Safran Mumbai India, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departamentul Forțelor Navale ale SUA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 și incredincomp pentru asistența acordată.

Wallet

Dorim să îi mulțumim lui Zhongcheng Li de la IES Red Team din cadrul ByteDance pentru asistența acordată.

Web Extensions

Dorim să le mulțumim lui Carlos Jeurissen și Rob Wu (robwu.nl) pentru asistența acordată.

WebKit

Dorim să le mulțumim lui Vamshi Paili, greenbynox, și unui cercetător anonim pentru asistența acordată.

WebKit Process Model

Dorim să-i mulțumim lui Joseph Semaan pentru asistența acordată.

Wi-Fi

Dorim să le mulțumim lui Kun Peeks (@SwayZGl1tZyyy) și unui cercetător anonim pentru asistența acordată.

Wi-Fi Connectivity

Dorim să-i mulțumim lui Alex Radocea de la Supernetworks, Inc pentru asistența acordată.

Widgets

Dorim să le mulțumim lui Marcel Voß, Mitul Pranjay și Serok Çelik pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 27 martie 2026