Om säkerhetsinnehållet i iOS 26.3 och iPadOS 26.3

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 26.3 och iPadOS 26.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 26.3 och iPadOS 26.3

Släpptes 11 februari 2026

Accessibility

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2026-20645: Loh Boon Keat

Accessibility

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Effekt: En angripare i en privilegierad nätverksposition kanske kan utföra ett DoS-angrepp med hjälp av särskilt utformade Bluetooth-paket

Beskrivning: Ett dos-problem åtgärdades med hjälp av förbättrad validering.

CVE-2026-20650: jioundai

Call History

Effekt: En angripare med avstängda apptillägg för Live Caller ID kanske kan identifiera information som har läckt till tilläggen

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) vid Hasso Plattner Institute

CFNetwork

Effekt: En fjärranvändare kan skriva opålitliga filer

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad logik.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20611: Anonym i samarbete med Trend Micro Zero Day Initiative

CoreMedia

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) från Iru

CoreServices

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2026-20615: Csaba Fitzl (@theevilbit) på Iru och Gergely Kalman (@gergely_kalman)

CoreServices

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem förekom i hanteringen av miljövariabler. Problemet har åtgärdats genom förbättrad validering.

CVE-2026-20627: En anonym forskare

dyld

Effekt: En angripare med skrivkapacitet för minne kanske kan köra opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats i ett mycket avancerat angrepp mot specifikt utvalda personer i iOS-versioner före iOS 26. CVE-2025-14174 och CVE-2025-43529 utfärdades också som svar på den här rapporten.

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Effekt: En användare kan visa känslig användarinformation

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-20649: Asaf Cohen

ImageIO

Effekt: Bearbetning av en bildfil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2026-20675: George Karchemsky (@gkarchemsky) i samarbete med Trend Micro Zero Day Initiative

ImageIO

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20634: George Karchemsky (@gkarchemsky) i samarbete med Trend Micro Zero Day Initiative

Kernel

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Effekt: En skadlig app kanske kan få rotbehörighet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2026-20626: Keisuke Hosoda

Kernel

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet löstes genom rensning av loggningar.

CVE-2026-20663: Zhongcheng Li från IES Red Team

libexpat

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-59375

libxpc

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2026-20667: En anonym forskare

Live Captions

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20655: Richard Hyunho Im (@richeeta) på Route Zero Security (routezero.security)

Messages

Effekt: En genväg kanske kan kringgå sandlådebegränsningar

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad hantering av symboliska länkar.

CVE-2026-20677: Ron Masas of BreakPoint.SH

Photos

Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt bilder från låsskärmen

Beskrivning: Ett problem med indatavalidering åtgärdades.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Effekt: En angripare kanske kan upptäcka en användares raderade anteckningar

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Effekt: En app i sandlådan kanske kan få åtkomst till känsliga användardata

Beskrivning: Problemet åtgärdades med ytterligare begränsningar för visning av applägen.

CVE-2026-20680: En anonym forskare

StoreKit

Effekt: En app kan kanske identifiera vilka övriga appar som en användare har installerat

Beskrivning: Ett integritetsfel åtgärdades med förbättrade kontroller.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Effekt: En app kan kringgå vissa inställningar för Integritet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2026-20606: LeminLimez

UIKit

Effekt: En angripare med fysisk åtkomst till en iPhone kanske kan ta och visa skärmavbilder på känsliga data från iPhone-enheten vid iPhone-dubblering med Mac

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20661: Dalibor Milanovic

WebKit

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing på TSDubhe och Nan Wang (@eternalsakura13)

WebKit

Effekt: En webbplats kanske kan spåra användare via Safari-webbtillägg

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing på TSDubhe och Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Effekt: En app kanske kan orsaka oväntat systemavslut eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20621: Wang Yu på Cyberserval

Ytterligare tack

Accessibility

Vi vill tacka Himanshu Bharti (@Xpl0itme) från Khatima för hjälpen.

Bluetooth

Vi vill tacka Tommaso Sacchetti för hjälpen.

Contacts

Vi vill tacka Atul Kishor Jaiswal för hjälpen.

Kernel

Vi vill tacka Joseph Ravichandran (@0xjprx) på MIT CSAIL, Xinru Chi på Pangu Lab för hjälpen.

libpthread

Vi vill tacka Fabiano Anemone för hjälpen.

Managed Configuration

Vi vill tacka kado för hjälpen.

NetworkExtension

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

Shortcuts

Vi vill tacka Robert Reichel för hjälpen.

Transparency

Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog) för hjälpen.

Wallet

Vi vill tacka Aaron Schlitt (@aaron_sfn) på Hasso Plattner Institute, Cybersecurity – Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) och Marco Bartoli (@wsxarcher) för hjälpen.

WebKit

Vi vill tacka David Wood, EntryHi, Luigino Camastra på Aisle Research, Stanislav Fort på Aisle Research, Vsevolod Kokorin (Slonser) på Solidlab och Jorian Woltjer för hjälpen.

Widgets

Vi vill tacka Marcel Voß, Serok Çelik för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 16 februari 2026