Om säkerhetsinnehållet i iOS 26.4 och iPadOS 26.4

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 26.4 och iPadOS 26.4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 26.4 och iPadOS 26.4

Släpptes 24 mars 2026

802.1X

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28865: Héloïse Gollier och Mathy Vanhoef (KU Leuven)

Accounts

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28877: Rosyna Keller på Totally Not Malicious Software

App Protection

Tillgängligt för: iPhone 11 och senare

Effekt: En angripare med fysisk åtkomst till en iOS-enhet med Skydd för stulen enhet aktiverat kanske kan komma åt biometriskt skyddade appar med lösenkoden

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2026-28895: Adrián Pérez Martínez, Uluk Abylbekov och Zack Tickman

Uppdaterades 9 april 2026

Audio

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2026-28879: Justin Cohen på Google

Audio

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2026-28822: Jex Amro

Baseband

Effekt: en fjärrangripare kan orsaka ett oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2026-28874: Hazem Issa, Tuan D. Hoang, och Yongdae Kim @ SysSec, KAIST

Baseband

Tillgängligt för: iPhone 16e

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28875: Tuan D. Hoang och Yongdae Kim @ KAIST SysSec Lab

Calling Framework

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett DoS-problem åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2026-28894: en anonym forskare

Clipboard

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Effekt: Om du bearbetar en ljudstream i en skadlig mediefil kan det leda till att processen avslutas

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20690: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreUtils

Effekt: En användare i en behörig nätverksposition kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2026-28886: Etienne Charron (Renault) och Victoria Martini (Renault)

Crash Reporter

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2026-28878: Zhongcheng Li från IES Red Team

curl

Effekt: På grund av ett problem i curl kunde känslig information oavsiktligt skickas via en felaktig anslutning

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-14524

DeviceLink

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2026-28876: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

GeoServices

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28870: XiguaSec

iCloud

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28880: Zhongcheng Li från IES Red Team

CVE-2026-28833: Zhongcheng Li från IES Red Team

ImageIO

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-64505

Kernel

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28868: 이동하 (Lee Dong Ha på BoB 0xB6)

Kernel

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Problemet åtgärdades med förbättrad autentisering.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Effekt: En app kanske kan orsaka oväntat systemavslut eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2026-28882: Ilias Morad (A2nkF) på Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail

Effekt: ”Dölj IP-adress" och ”Blockera allt fjärrinnehåll" kanske inte tillämpas för allt innehåll i Mail

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad hantering av användarinställningar.

CVE-2026-20692: Andreas Jaegersberger & Ro Achterberg på Nosebeard Labs

Printing

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2026-20688: wdszzml och Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Effekt: En lokal angripare kanske kan få tillgång till användarens nyckelringsobjekt

Beskrivning: Problemet åtgärdades med förbättrade behörighetskontroller.

CVE-2026-28864: Alex Radocea

Siri

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.

CVE-2026-28856: en anonym forskare

Telephony

Effekt: En fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28858: Hazem Issa och Yongdae Kim @ SysSec, KAIST

UIFoundation

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28852: Caspian Tarafdar

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan kringgå principen för samma ursprung

Beskrivning: Ett problem med data från flera källor i Navigation-API åtgärdades genom förbättrad indatavalidering.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 306136

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch och Yevhen Pervushyn

WebKit Bugzilla: 307723

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea och Nathaniel Oh (@calysteon)

WebKit

Effekt: En skadlig webbplats kanske kan komma åt hanterare för skriptmeddelanden som är avsedda för andra ursprung

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu och Shuaike Dong från Ant Group Infrastructure Security Team

WebKit

Effekt: En webbplats med skadligt innehåll kanske kan bearbeta begränsat webbinnehåll utanför sandlådan

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 306827

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ytterligare tack

Accessibility

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai Indien, Jacob Prezant (prezant.us) för hjälpen.

AirPort

Vi vill tacka Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii för hjälpen.

App Protection

Vi vill tacka Andr.Ess för hjälpen.

Bluetooth

Vi vill tacka Hamid Mahmoud för hjälpen.

Captive Network

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy) för hjälpen.

CipherML

Vi vill tacka Nils Hanff (@nils1729@chaos.social) på Hasso Plattner Institute för hjälpen.

CloudAttestation

Vi vill tacka Suresh Sundaram, Willard Jansen för hjälpen.

CoreUI

Vi vill tacka Peter Malone för hjälpen.

Find My

Vi vill tacka Salemdomain för hjälpen.

GPU Drivers

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

ICU

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

Kernel

Vi vill tacka DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville från Fuzzinglabs, Patrick Ventuzelo från Fuzzinglabs, Robert Tran, Suresh Sundaram för hjälpen.

libarchive

Vi vill tacka Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs, Arni Hardarson för hjälpen.

libc

Vi vill tacka Vitaly Simonovich för hjälpen.

Libnotify

Vi vill tacka Ilias Morad (@A2nkF_) för hjälpen.

LLVM

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

mDNSResponder

Vi vill tacka William Mather för hjälpen.

Messages

Vi vill tacka JZ för hjälpen.

MobileInstallation

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

Music

Vi vill tacka Mohammad Kaif (@_mkahmad | kaif0x01) för hjälpen.

NetworkExtension

Vi vill tacka Jianfeng Chen from yq12260 på Intretech för hjälpen.

Notes

Vi vill tacka Dawuge på Shuffle Team och Hunan University för hjälpen.

Notifications

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal India för hjälpen.

ppp

Vi vill tacka Dave G. för hjälpen.

Quick Look

Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog), en anonym forskare för hjälpen.

Safari

Vi vill tacka @RenwaX23, Bikesh Parajuli, Farras Givari, Syarif Muhammad Sajjad, Yair för hjälpen.

Safari Private Browsing

Vi vill tacka Jaime Gallego Matud för hjälpen.

Shortcuts

Vi vill tacka Waleed Barakat (@WilDN00B) och Paul Montgomery (@nullevent) för hjälpen.

Siri

Vi vill tacka Anand Mallaya, teknikkonsult, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, egenföretagare för hjälpen.

Spotlight

Vi vill tacka Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman för hjälpen.

Status Bar

Vi vill tacka Sahel Alemi för hjälpen.

Telephony

Vi vill tacka Xue Zhang, Yi Chen för hjälpen.

Time Zone

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India för hjälpen.

UIKit

Vi vill tacka AEC, Abhay Kailasia (@abhay_kailasia) från Safran Mumbai Indien, Ben Gallagher, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp för hjälpen.

Wallet

Vi vill tacka Zhongcheng Li från IES Red Team på ByteDance för hjälpen.

Web Extensions

Vi vill tacka Carlos Jeurissen, Rob Wu (robwu.nl) för hjälpen.

WebKit

Vi vill tacka Vamshi Paili, greenbynox, och en anonym forskare för hjälpen.

WebKit Process Model

Vi vill tacka Joseph Semaan för hjälpen.

Wi-Fi

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy), en anonym forskare för hjälpen.

Wi-Fi Connectivity

Vi vill tacka Alex Radocea på Supernetworks, Inc för hjälpen.

Widgets

Vi vill tacka Marcel Voß, Mitul Pranjay, Serok Çelik för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 14 april 2026