Obsah zabezpečenia v systémoch iOS 26.4 a iPadOS 26.4

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 26.4 a iPadOS 26.4.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 26.4 a iPadOS 26.4

Dátum vydania: 24. marca 2026

802.1X

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s autentifikáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)

Accounts

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28877: Rosyna Keller z tímu Totally Not Malicious Software

App Protection

Dostupné pre: iPhone 11 a novší

Dopad: Útočník s fyzickým prístupom k zariadeniu so systémom iOS so zapnutou službou Ochrana odcudzeného zariadenia môže byť schopný získať pomocou kódu prístup do apiek s biometrickou ochranou

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28895: Zack Tickman

Audio

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28879: Justin Cohen zo spoločnosti Google

Audio

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28822: Jex Amro

Baseband

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang a Yongdae Kim @ SysSec, KAIST

Baseband

Dostupné pre: iPhone 16e

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28875: Tuan D. Hoang a Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28894: anonymný výskumník

Clipboard

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže mať za následok ukončenie procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-20690: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreUtils

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)

Crash Reporter

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Opis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2026-28878: Zhongcheng Li z tímu IES Red Team

curl

Dopad: V komponente curl sa vyskytoval problém, ktorý mohol spôsobiť neúmyselné odoslanie citlivých informácií prostredníctvom nesprávneho pripojenia

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-14524

DeviceLink

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2026-28876: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

GeoServices

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28870: XiguaSec

iCloud

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28880: Zhongcheng Li z tímu IES Red Team

CVE-2026-28833: Zhongcheng Li z tímu IES Red Team

ImageIO

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

CVE-2025-64505

Kernel

Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28868: 이동하 (Lee Dong Ha z tímu BoB 0xB6)

Kernel

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dosah: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28882: Ilias Morad (A2nkF) z tímu Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Dopad: Nastavenia Skryť IP adresu a Blokovať všetok vzdialený obsah sa nemusia uplatniť na všetok obsah pošty

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania používateľských nastavení.

CVE-2026-20692: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

Printing

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2026-20688: wdszzml a Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Dopad: Miestny útočník môže získať prístup k položkám Kľúčenky používateľa

Popis: Tento problém bol vyriešený pomocou vylepšenej kontroly oprávnení.

CVE-2026-28864: Alex Radocea

Siri

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2026-28856: anonymný výskumník

Telephony

Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28858: Hazem Issa a Yongdae Kim @ SysSec, KAIST

UIFoundation

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28852: Caspian Tarafdar

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom umožňuje obísť mechanizmus SOP (Same Origin Policy)

Popis: V rozhraní API Navigation dochádzalo k problému so zámenou pôvodu, ktorý bol vyriešený vylepšením overovania vstupu.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit

Dopad: Webová stránka so škodlivým kódom môže byť schopná získať prístup k obslužným programom správ skriptov určeným pre iné oblasti pôvodu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu a Shuaike Dong z tímu Ant Group Infrastructure Security Team

WebKit

Dopad: Webová stránka so škodlivým kódom môže byť schopná spracúvať obmedzený webový obsah z oblasti mimo sandboxu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Dopad: Webová stránka so škodlivým kódom môže byť schopná identifikovať používateľa

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo Safranu v Bombaji v Indii a Jacob Prezant (prezant.us).

AirPort

Poďakovanie za pomoc si zaslúžia Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari a Omid Rezaii.

App Protection

Poďakovanie za pomoc si zaslúži Andr.Ess.

Bluetooth

Poďakovanie za pomoc si zaslúži Hamid Mahmoud.

Captive Network

Poďakovanie za pomoc si zaslúži Kun Peeks (@SwayZGl1tZyyy).

CipherML

Poďakovanie za pomoc si zaslúži Nils Hanff (@nils1729@chaos.social) z Hasso Plattner Institute.

CloudAttestation

Poďakovanie za pomoc si zaslúžia Suresh Sundaram a Willard Jansen.

CoreUI

Poďakovanie za pomoc si zaslúži Peter Malone.

Find My

Poďakovanie za pomoc si zaslúži Salemdomain.

GPU Drivers

Poďakovanie za pomoc si zaslúži Jian Lee (@speedyfriend433).

ICU

Poďakovanie za pomoc si zaslúži Jian Lee (@speedyfriend433).

Kernel

Poďakovanie za pomoc si zaslúžia DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville z tímu Fuzzinglabs, Patrick Ventuzelo z tímu Fuzzinglabs, Robert Tran a Suresh Sundaram.

libarchive

Poďakovanie za pomoc si zaslúžia Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs a Arni Hardarson.

libc

Poďakovanie za pomoc si zaslúži Vitaly Simonovich.

Libnotify

Poďakovanie za pomoc si zaslúži Ilias Morad (@A2nkF_).

LLVM

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

mDNSResponder

Poďakovanie za pomoc si zaslúži William Mather.

Messages

Poďakovanie za pomoc si zaslúži JZ.

MobileInstallation

Poďakovanie za pomoc si zaslúži Gongyu Ma (@Mezone0).

Music

Poďakovanie za pomoc si zaslúži Mohammad Kaif (@_mkahmad | kaif0x01).

NetworkExtension

Poďakovanie za pomoc si zaslúži Jianfeng Chen z tímu yq12260 zo spoločnosti Intretech.

Notes

Poďakovanie za pomoc si zaslúži Dawuge z tímu Shuffle Team a Hunanskej univerzity.

Notifications

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópále v Indii.

ppp

Poďakovanie za pomoc si zaslúži Dave G.

Quick Look

Poďakovanie za pomoc si zaslúžia Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog) a anonymný výskumník.

Safari

Poďakovanie za pomoc si zaslúžia @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad a Yair.

Safari Private Browsing

Poďakovanie za pomoc si zaslúži Jaime Gallego Matud.

Shortcuts

Poďakovanie za pomoc si zaslúžia Waleed Barakat (@WilDN00B) a Paul Montgomery (@nullevent).

Siri

Poďakovanie za pomoc si zaslúžia Anand Mallaya, technický konzultant zo spoločnosti Anand Mallaya and Co., Harsh Kirdolia a Hrishikesh Parmar na voľnej nohe.

Spotlight

Poďakovanie za pomoc si zaslúžia Bilge Kaan Mızrak, Claude a priatelia z tímu Risk Analytics Research Group a Zack Tickman.

Status Bar

Poďakovanie za pomoc si zaslúži Sahel Alemi.

Telephony

Poďakovanie za pomoc si zaslúžia Xue Zhang a Yi Chen.

Time Zone

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) zo Safranu v Bombaji v Indii.

UIKit

Poďakovanie za pomoc si zaslúžia AEC, Abhay Kailasia (@abhay_kailasia) zo Safranu v Bombaji v Indii, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (Ministerstvo námorníctva USA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 a incredincomp.

Wallet

Poďakovanie za pomoc si zaslúži Zhongcheng Li z tímu IES Red Team zo spoločnosti ByteDance.

Web Extensions

Poďakovanie za pomoc si zaslúžia Carlos Jeurissen a Rob Wu (robwu.nl).

WebKit

Poďakovanie za pomoc si zaslúžia Vamshi Paili, greenbynox a anonymný výskumník.

WebKit Process Model

Poďakovanie za pomoc si zaslúži Joseph Semaan.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Kun Peeks (@SwayZGl1tZyyy) a anonymný výskumník.

Wi-Fi Connectivity

Poďakovanie za pomoc si zaslúži Alex Radocea zo spoločnosti Supernetworks, Inc.

Widgets

Poďakovanie za pomoc si zaslúžia Marcel Voß, Mitul Pranjay a Serok Çelik.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 27. marca 2026