.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Om säkerhetsinnehållet i iOS 26.4 och iPadOS 26.4

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 26.4 och iPadOS 26.4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 26.4 och iPadOS 26.4

Släpptes 24 mars 2026

802.1X

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28865: Héloïse Gollier och Mathy Vanhoef (KU Leuven)

Accounts

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28877: Rosyna Keller på Totally Not Malicious Software

App Protection

Tillgängligt för: iPhone 11 och senare

Effekt: En angripare med fysisk åtkomst till en iOS-enhet med Skydd för stulen enhet aktiverat kanske kan komma åt biometriskt skyddade appar med lösenkoden

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2026-28895: Adrián Pérez Martínez, Uluk Abylbekov och Zack Tickman

Uppdaterades 9 april 2026

Audio

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2026-28879: Justin Cohen på Google

Audio

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2026-28822: Jex Amro

Baseband

Effekt: en fjärrangripare kan orsaka ett oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang, och Yongdae Kim @ SysSec, KAIST

Baseband

Tillgängligt för: iPhone 16e

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28875: Tuan D. Hoang, Hazem Issa och Yongdae Kim @ KAIST SysSec Lab

Uppdaterades 11 maj 2026

Calendar

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2026-28872: Alvin Aries Tapia

Lades till 11 maj 2026

Calling Framework

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett DoS-problem åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2026-28894: en anonym forskare

Clipboard

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Effekt: Om du bearbetar en ljudstream i en skadlig mediefil kan det leda till att processen avslutas

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20690: Hossein Lotfi (@hosselot) på TrendAI Zero Day Initiative

Uppdaterades 11 maj 2026

CoreUtils

Effekt: En användare i en behörig nätverksposition kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2026-28886: Etienne Charron (Renault) och Victoria Martini (Renault)

Crash Reporter

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2026-28878: Zhongcheng Li från IES Red Team

curl

Effekt: På grund av ett problem i curl kunde känslig information oavsiktligt skickas via en felaktig anslutning

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-14524

DeviceLink

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2026-28876: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

GeoServices

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28870: XiguaSec

iCloud

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28880: Zhongcheng Li från IES Red Team

CVE-2026-28833: Zhongcheng Li från IES Red Team

ImageIO

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-64505

Kernel

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97), 이동하 (Lee Dong Ha på BoB 0xB6)

Uppdaterades 11 maj 2026

Kernel

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Problemet åtgärdades med förbättrad autentisering.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Effekt: En app kanske kan orsaka oväntat systemavslut eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) på Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Uppdaterades 11 maj 2026

Mail

Effekt: ”Dölj IP-adress" och ”Blockera allt fjärrinnehåll" kanske inte tillämpas för allt innehåll i Mail

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad hantering av användarinställningar.

CVE-2026-20692: Andreas Jaegersberger & Ro Achterberg på Nosebeard Labs, Himanshu Bharti (@Xpl0itme) från Khatima

Uppdaterades 11 maj 2026

Printing

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2026-20688: wdszzml och Atuin Automated Vulnerability Discovery Engine

Privacy

Effekt: En app kan kringgå registrering i Rapport om appintegritet

Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.

CVE-2026-28873: Guy Dor

Lades till 11 maj 2026

Sandbox Profiles

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Effekt: En lokal angripare kanske kan få tillgång till användarens nyckelringsobjekt

Beskrivning: Problemet åtgärdades med förbättrade behörighetskontroller.

CVE-2026-28864: Alex Radocea

Security

Effekt: En lokal angripare kan kanske modifiera nyckelringens status

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2026-28860: Alex Radocea

Lades till 11 maj 2026

Siri

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.

CVE-2026-28856: en anonym forskare

Telephony

Effekt: En fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28858: Hazem Issa och Yongdae Kim @ SysSec, KAIST

Telephony

Effekt: En angripare i en privilegierad nätverksposition kan kanske orsaka ett DoS-angrepp

Beskrivning: Ett DoS-problem åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2026-28967: Hazem Issa och Yongdae Kim @ SysSec, KAIST

Lades till 11 maj 2026

UIFoundation

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28852: Caspian Tarafdar

Vision

Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2026-20657: Andrew Becker

Lades till 11 maj 2026

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan kringgå principen för samma ursprung

Beskrivning: Ett problem med data från flera källor i Navigation-API åtgärdades genom förbättrad indatavalidering.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 306136

CVE-2026-20664: Yeonghyeon Choi, Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch3301, Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

Uppdaterades 11 maj 2026

WebKit

Effekt: En skadlig webbplats kanske kan komma åt hanterare för skriptmeddelanden som är avsedda för andra ursprung

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu och Shuaike Dong från Ant Group Infrastructure Security Team och webb

Uppdaterades 11 maj 2026

WebKit

Effekt: En webbplats med skadligt innehåll kanske kan bearbeta begränsat webbinnehåll utanför sandlådan

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson och en anonym forskare

Uppdaterades 11 maj 2026

WebKit Sandboxing

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ytterligare tack

Accessibility

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai Indien, Jacob Prezant (prezant.us) för hjälpen.

AirPort

Vi vill tacka Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii för hjälpen.

App Protection

Vi vill tacka Andr.Ess för hjälpen.

Bluetooth

Vi vill tacka Hamid Mahmoud för hjälpen.

Captive Network

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy) för hjälpen.

CipherML

Vi vill tacka Nils Hanff (@nils1729@chaos.social) på Hasso Plattner Institute för hjälpen.

CloudAttestation

Vi vill tacka Suresh Sundaram, Willard Jansen för hjälpen.

CoreUI

Vi vill tacka Peter Malone för hjälpen.

Files

Vi vill tacka Chi Yuan Chang på ZUSO ART för hjälpen.

Lades till 11 maj 2026

Find My

Vi vill tacka Salemdomain för hjälpen.

GPU Drivers

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

ICU

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

Kernel

Vi vill tacka Adam Doupé på ASU SEFCOM, DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville från Fuzzinglabs, Patrick Ventuzelo från Fuzzinglabs, Robert Tran, Suresh Sundaram, Tristan Madani (@TristanInSec) från Talence Security för hjälpen.

Uppdaterades 11 maj 2026

libarchive

Vi vill tacka Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs, Arni Hardarson för hjälpen.

libc

Vi vill tacka Vitaly Simonovich (vitalysim.com) för hjälpen.

Uppdaterades 11 maj 2026

Libnotify

Vi vill tacka Ilias Morad (@A2nkF_) för hjälpen.

LLVM

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

mDNSResponder

Vi vill tacka William Mather för hjälpen.

Messages

Vi vill tacka JZ för hjälpen.

MobileInstallation

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

Music

Vi vill tacka Mohammad Kaif (@_mkahmad | kaif0x01) för hjälpen.

NetworkExtension

Vi vill tacka Jianfeng Chen from yq12260 på Intretech för hjälpen.

Notes

Vi vill tacka Dawuge på Shuffle Team och Hunan University för hjälpen.

Notifications

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal India för hjälpen.

ppp

Vi vill tacka Dave G. för hjälpen.

Quick Look

Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog), en anonym forskare för hjälpen.

Safari

Vi vill tacka @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair för hjälpen.

Safari Private Browsing

Vi vill tacka Jaime Gallego Matud för hjälpen.

Shortcuts

Vi vill tacka Waleed Barakat (@WilDN00B) och Paul Montgomery (@nullevent) för hjälpen.

Siri

Vi vill tacka Anand Mallaya, teknikkonsult, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, egenföretagare för hjälpen.

Spotlight

Vi vill tacka Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman för hjälpen.

Status Bar

Vi vill tacka Sahel Alemi för hjälpen.

Telephony

Vi vill tacka Xue Zhang, Yi Chen för hjälpen.

Time Zone

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India för hjälpen.

UIKit

Vi vill tacka AEC, Abhay Kailasia (@abhay_kailasia) från Safran Mumbai Indien, Alex Thomas, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp för hjälpen.

Uppdaterades 11 maj 2026

Wallet

Vi vill tacka Zhongcheng Li från IES Red Team på ByteDance för hjälpen.

Web Extensions

Vi vill tacka Carlos Jeurissen, Rob Wu (robwu.nl) för hjälpen.

WebKit

Vi vill tacka Vamshi Paili, greenbynox, och en anonym forskare för hjälpen.

WebKit Process Model

Vi vill tacka Joseph Semaan för hjälpen.

Wi-Fi

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy), en anonym forskare för hjälpen.

Wi-Fi Connectivity

Vi vill tacka Alex Radocea på Supernetworks, Inc för hjälpen.

Widgets

Vi vill tacka Marcel Voß, Mitul Pranjay, Serok Çelik för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 15 maj 2026