Obsah zabezpečenia v systémoch iOS 26.3 a iPadOS 26.3

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 26.3 a iPadOS 26.3.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 26.3 a iPadOS 26.3

Accessibility

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20645: Loh Boon Keat

Accessibility

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Opis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočník s oprávneniami v sieti môže byť schopný vykonať útok zameraný na odmietnutie služby pomocou upravených paketov Bluetooth

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2026-20650: jioundai

Call History

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Identifikačné údaje používateľa s rozšíreniami apky Live Caller ID sa mohli sprístupniť pre tieto rozšírenia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) z tímu Hasso Plattner Institute

CFNetwork

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Vzdialený používateľ môže byť schopný zapisovať ľubovoľné súbory

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením logiky.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-20611: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) z tímu Iru

CoreServices

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2026-20615: Csaba Fitzl (@theevilbit) z tímu Iru a Gergely Kalman (@gergely_kalman)

CoreServices

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Pri spracovávaní premenných prostredia dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.

CVE-2026-20627: anonymný výskumník

dyld

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočník s možnosťou zápisu do pamäte môže byť schopný spustiť ľubovoľný kód. Spoločnosť Apple má informácie o tom, že tento problém mohol byť zneužitý pri mimoriadne sofistikovanom útoku na konkrétne cieľové osoby vo verziách systému iOS starších ako iOS 26. Problémy CVE-2025-14174 a CVE-2025-43529 boli taktiež zaznamenané v rámci reakcie na túto správu.

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-20649: Asaf Cohen

ImageIO

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2026-20675: George Karchemsky (@gkarchemsky) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20634: George Karchemsky (@gkarchemsky) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-20626: Keisuke Hosoda

Kernel

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Tento problém bol vyriešený sanitizáciou protokolovania.

CVE-2026-20663: Zhongcheng Li z tímu IES Red Team

libexpat

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-59375

libxpc

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20667: anonymný výskumník

Live Captions

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20655: Richard Hyunho Im (@richeeta) z tímu Route Zero Security (routezero.security)

Messages

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Skratka môže byť schopná obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšeným spracovaním symbolických odkazov.

CVE-2026-20677: Ron Masas zo spoločnosti BreakPoint.SH

Photos

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k fotkám zo zamknutej plochy

Popis: Vyriešil sa problém s overovaním vstupu.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočník môže byť schopný nájsť vymazané poznámky používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.

CVE-2026-20680: anonymný výskumník

StoreKit

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná určiť, aké ďalšie apky má používateľ nainštalované

Popis: Dochádzalo k problému so súkromím, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2026-20606: LeminLimez

UIKit

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočník s fyzickým prístupom k iPhonu môže byť schopný vytvárať a zobrazovať snímky obrazovky s citlivými údajmi v iPhone počas zrkadlenia iPhonu na Macu

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20661: Dalibor Milanovic

WebKit

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-20608: HanQing z tímu TSDubhe a Nan Wang (@eternalsakura13)

WebKit

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Webová stránka môže byť schopná sledovať používateľov prostredníctvom webových rozšírení Safari

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-20676: Tom Van Goethem

WebKit

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20644: HanQing z tímu TSDubhe a Nan Wang (@eternalsakura13)

CVE-2026-20636: EntryHi

CVE-2026-20635: EntryHi

Wi-Fi

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20621: Wang Yu z tímu Cyberserval

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúži Himanshu Bharti (@Xpl0itme) z tímu Khatima.

Bluetooth

Poďakovanie za pomoc si zaslúži Tommaso Sacchetti.

Contacts

Poďakovanie za pomoc si zaslúži Atul Kishor Jaiswal.

Kernel

Poďakovanie za pomoc si zaslúžia Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL a Xinru Chi z tímu Pangu Lab.

libpthread

Poďakovanie za pomoc si zaslúži Fabiano Anemone.

Managed Configuration

Poďakovanie za pomoc si zaslúži kado.

NetworkExtension

Poďakovanie za pomoc si zaslúži Gongyu Ma (@Mezone0).

Shortcuts

Poďakovanie za pomoc si zaslúži Robert Reichel.

Transparency

Poďakovanie za pomoc si zaslúži Wojciech Regula (wojciechregula.blog) zo spoločnosti SecuRing.

Wallet

Poďakovanie za pomoc si zaslúžia Aaron Schlitt (@aaron_sfn) z tímu Hasso Plattner Institute, Cybersecurity – Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) a Marco Bartoli (@wsxarcher).

WebKit

Poďakovanie za pomoc si zaslúžia David Wood, EntryHi, Luigino Camastra z tímu Aisle Research, Stanislav Fort z tímu Aisle Research, Vsevolod Kokorin (Slonser) z tímu Solidlab a Jorian Woltjer.

Widgets

Poďakovanie za pomoc si zaslúžia Marcel Voß a Serok Çelik.