iOS 26.3 ve iPadOS 26.3'ün güvenlik içeriği hakkında

Bu belgede iOS 26.3 ve iPadOS 26.3'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 26.3 ve iPadOS 26.3

Yayınlanma tarihi: 11 Şubat 2026

Accessibility

İlgili ürünler: iPhone 11 ve sonraki modelleri, iPad Pro 12,9 inç 3. nesil ve sonraki modelleri, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 8. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kilitli aygıta fiziksel erişimi olan bir saldırgan, kullanıcıların hassas bilgilerini görebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2026-20645: Loh Boon Keat

Accessibility

Etki: Kilitli aygıta fiziksel erişimi olan bir saldırgan, kullanıcıların hassas bilgilerini görebilir

Açıklama: Hassas veriler kaldırılarak bir gizlilik sorunu giderildi.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, oluşturulan Bluetooth paketlerini kullanarak servis reddi saldırısı gerçekleştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2026-20650: jioundai

Call History

Etki: Live Caller ID uygulama genişletmeleri kapatılmış bir kullanıcının tanımlayıcı bilgileri genişletmelere sızdırılmış olabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2026-20638: Hasso Plattner Enstitüsü'nden Nils Hanff (@nils1729@chaos.social)

CFNetwork

Etki: Uzaktaki bir kullanıcı rastgele dosyalara yazabilir

Açıklama: Mantık işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Etki: Kötü amaçlarla oluşturulmuş bir medya dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin bozulmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2026-20611: Trend Micro Zero Day Initiative'den anonim bir araştırmacı

CoreMedia

Etki: Kötü amaçla geliştirilmiş bir dosyasının işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Iru'dan Csaba Fitzl (@theevilbit)

CoreServices

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2026-20615: Iru'dan Csaba Fitzl (@theevilbit) ve Gergely Kalman (@gergely_kalman)

CoreServices

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ortam değişkenlerinin işlenmesiyle ilgili bir sorun vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2026-20627: Anonim bir araştırmacı

dyld

Etki: Bellek yazma kabiliyetine sahip bir saldırgan rastgele kod yürütebilir. Apple, bu sorunun iOS 26'dan önceki iOS sürümlerinde belirli hedefli kişilere yönelik son derece karmaşık bir saldırıda kullanılmış olabileceğine dair rapordan haberdardır. CVE-2025-14174 ve CVE-2025-43529 da bu rapora yanıt olarak düzenlenmiştir.

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2026-20700: Google Tehdit Analiz Grubu

Game Center

Etki: Bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Bir günlük kaydı sorunu, veri düzenleme işlemi iyileştirilerek giderildi

CVE-2026-20649: Asaf Cohen

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2026-20675: Trend Micro Zero Day Initiative'den George Karchemsky (@gkarchemsky)

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20634: Trend Micro Zero Day Initiative'den George Karchemsky (@gkarchemsky)

Kernel

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıkları kazanabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2026-20626: Keisuke Hosoda

Kernel

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, ağ trafiğini ele geçirebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Etki: Bir uygulama, kullanıcının yüklü uygulamalarını listeleyebilir

Açıklama: Sorun, günlük kaydı temizlenerek çözüldü.

CVE-2026-20663: IES Red Team'den Zhongcheng Li

libexpat

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi servis reddine yol açabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2025-59375

libxpc

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2026-20667: anonim bir araştırmacı

Live Captions

Etki: Kilitli aygıta fiziksel erişimi olan bir saldırgan, kullanıcıların hassas bilgilerini görebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2026-20655: Route Zero Security'den (routezero.security) Richard Hyunho Im (@richeeta)

Messages

Etki: Bir kestirme, korumalı alan sınırlamalarını atlatabilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek yarış durumu giderildi.

CVE-2026-20677: BreakPoint.SH'ten Ron Masas

Photos

Etki: iOS aygıtına fiziksel erişimi olan bir kişi, kilitli ekrandan fotoğraflara erişebilir

Açıklama: Bir giriş doğrulama sorunu giderildi.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Etki: Bir saldırgan, kullanıcıların silinen notlarını bulabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Etki: Korumalı alandaki bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Uygulama durumlarının gözlemlenebilirliğine ek sınırlamalar getirilerek sorun giderildi.

CVE-2026-20680: Anonim bir araştırmacı

StoreKit

Etki: Bir uygulama, kullanıcının yüklediği diğer uygulamaları belirleyebilir

Açıklama: Denetimler iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlatabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2026-20606: LeminLimez

UIKit

Etki: iPhone'a fiziksel erişimi olan bir saldırgan, Mac ile iPhone Yansıtma kullanılırken iPhone'daki hassas verilerin ekran görüntüsünü alabilir ve bu ekran görüntülerini kullanabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Etki: Kilitli aygıta fiziksel erişimi olan bir saldırgan, kullanıcıların hassas bilgilerini görebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2026-20661: Dalibor Milanovic

WebKit

Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

WebKit Bugzilla: 303357

CVE-2026-20608: TSDubhe'den HanQing ve Nan Wang (@eternalsakura13)

WebKit

Etki: Bir web sitesi, Safari web genişletmeleri yoluyla kullanıcıları takip edebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 303444

CVE-2026-20644: TSDubhe'den HanQing ve Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek belleğin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2026-20621: Cyberserval'dan Wang Yu

Ek teşekkür listesi

Accessibility

Yardımı için Himanshu Bharti'ye (@Xpl0itme) teşekkür ederiz.

Bluetooth

Tommaso Sacchetti'ye yardımı için teşekkür ederiz.

Contacts

Yardımı için Atul Kishor Jaiswal'a teşekkür ederiz.

Kernel

Yardımları için MIT CSAIL'den Joseph Ravichandran (@0xjprx) ve Pangu Lab'den Xinru Chi'ye teşekkür ederiz.

libpthread

Fabiano Anemone'ye yardımı için teşekkür ederiz.

Managed Configuration

Yardımı için kado'ya teşekkür ederiz.

NetworkExtension

Gongyu Ma'ya (@Mezone0) yardımı için teşekkür ederiz.

Shortcuts

Yardımı için Robert Reichel'a teşekkür ederiz.

Transparency

Yardımı için SecuRing'den Wojciech Regula'ya (wojciechregula.blog) teşekkür ederiz.

Wallet

Yardımları için Hasso Plattner Siber Güvenlik (Mobil ve Kablosuz) Enstitüsü'nden Aaron Schlitt'e (@aaron_sfn), Jacob Prezant'a (prezant.us), Lorenzo Santina'ya (@BigNerd95) ve Marco Bartoli'ye (@wsxarcher) teşekkür ederiz.

WebKit

Yardımları için David Wood, EntryHi, Aisle Research'ten Luigino Camastra, Aisle Research'ten Stanislav Fort, Solidlab'den Vsevolod Kokorin (Slonser) ve Jorian Woltjer'e teşekkür ederiz.

Widgets

Yardımı için Marcel Voß, Serok Çelik'e teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 16 Şubat 2026