Mengenai konten keamanan iOS 26.3 dan iPadOS 26.3

Dokumen ini menjelaskan konten keamanan iOS 26.3 dan iPadOS 26.3.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

iOS 26.3 dan iPadOS 26.3

Dirilis pada 11 Februari 2026

Accessibility

Tersedia untuk: iPhone 11 dan versi lebih baru, iPad Pro 12,9 inci generasi ke-3 dan versi lebih baru, iPad Pro 11 inci generasi ke-1 dan versi lebih baru, iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-8 dan versi lebih baru, serta iPad mini generasi ke-5 dan versi lebih baru

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2026-20645: Loh Boon Keat

Accessibility

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan menghapus data sensitif.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat melakukan serangan DoS (denial-of-service) menggunakan paket Bluetooth perusak

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-20650: jioundai

Call History

Dampak: Pengguna yang mematikan ekstensi app ID Penelepon Langsung berisiko mengalami kebocoran informasi identitas ke ekstensi tersebut

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) dari Hasso Plattner Institute

CFNetwork

Dampak: Pengguna jarak jauh mungkin dapat menulis file arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Dampak: Memproses file media perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau kerusakan memori proses

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20611: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro

CoreMedia

Dampak: Memproses file perusak yang berbahaya dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) dari Iru

CoreServices

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2026-20615: Csaba Fitzl (@theevilbit) dari Iru dan Gergely Kalman (@gergely_kalman)

CoreServices

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah muncul saat menangani variabel lingkungan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2026-20627: peneliti anonim

dyld

Dampak: Penyerang dengan kemampuan tulis memori mungkin dapat mengeksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi dalam serangan yang amat sangat kompleks terhadap sejumlah individu spesifik yang ditarget pada versi-versi iOS sebelum iOS 26. CVE-2025-14174 dan CVE-2025-43529 juga diterbitkan sehubungan dengan laporan ini.

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Dampak: Pengguna dapat melihat informasi rahasia pengguna

Deskripsi: Masalah pencatatan telah diatasi dengan penyamaran data yang ditingkatkan.

CVE-2026-20649: Asaf Cohen

ImageIO

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2026-20675: George Karchemsky (@gkarchemsky) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20634: George Karchemsky (@gkarchemsky) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Kernel

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Dampak: App yang berbahaya dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20626: Keisuke Hosoda

Kernel

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas jaringan

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Dampak: App tertentu mungkin dapat menghitung app yang diinstal pengguna

Deskripsi: Masalah telah diatasi dengan membersihkan pencatatan.

CVE-2026-20663: Zhongcheng Li dari IES Red Team

libexpat

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2025-59375

libxpc

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20667: peneliti anonim

Live Captions

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20655: Richard Hyunho Im (@richeeta) di Route Zero Security (routezero.security)

Messages

Dampak: Pintasan mungkin dapat melewati pembatasan sandbox

Deskripsi: Kondisi pacu telah diatasi dengan penanganan tautan simbolis yang ditingkatkan.

CVE-2026-20677: Ron Masas dari BreakPoint.SH

Photos

Dampak: Orang yang memiliki akses fisik ke perangkat iOS mungkin dapat mengakses foto dari layar terkunci

Deskripsi: Masalah validasi input telah diatasi.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Dampak: Penyerang mungkin dapat menemukan catatan pengguna yang telah dihapus

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Dampak: App di dalam sandbox mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah telah diatasi dengan pembatasan tambahan pada kemampuan mengamati status app.

CVE-2026-20680: peneliti anonim

StoreKit

Dampak: App mungkin dapat mengidentifikasi app lain yang telah diinstal pengguna

Deskripsi: Masalah privasi telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2026-20606: LeminLimez

UIKit

Dampak: Penyerang yang memiliki akses fisik ke iPhone mungkin dapat mengambil dan melihat tangkapan layar data sensitif dari iPhone selama Pencerminan iPhone dengan Mac berlangsung

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2026-20661: Dalibor Milanovic

WebKit

Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing dari TSDubhe dan Nan Wang (@eternalsakura13)

WebKit

Dampak: Situs web mungkin dapat melacak pengguna melalui ekstensi web Safari

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing dari TSDubhe dan Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2026-20621: Wang Yu dari Cyberserval

Ucapan terima kasih tambahan

Accessibility

Kami ingin mengucapkan terima kasih kepada Himanshu Bharti (@Xpl0itme) dari Khatima atas bantuannya.

Bluetooth

Kami ingin mengucapkan terima kasih kepada Tommaso Sacchetti atas bantuannya.

Contacts

Kami ingin mengucapkan terima kasih kepada Atul Kishor Jaiswal atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Joseph Ravichandran (@0xjprx) dari MIT CSAIL, Xinru Chi dari Pangu Lab atas bantuannya.

libpthread

Kami ingin mengucapkan terima kasih kepada Fabiano Anemone atas bantuannya.

Managed Configuration

Kami ingin mengucapkan terima kasih kepada Kado atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Gongyu Ma (@Mezone0) atas bantuannya.

Shortcuts

Kami ingin mengucapkan terima kasih kepada Robert Reichel atas bantuannya.

Transparency

Kami ingin mengucapkan terima kasih kepada Wojciech Regula dari SecuRing (wojciechregula.blog) atas bantuannya.

Wallet

Kami ingin mengucapkan terima kasih kepada Aaron Schlitt (@aaron_sfn) dari Hasso Plattner Institute, Cybersecurity - Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95), dan Marco Bartoli (@wsxarcher) atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada David Wood, EntryHi, Luigino Camastra dari Aisle Research, Stanislav Fort dari Aisle Research, Vsevolod Kokorin (Slonser) dari Solidlab, dan Jorian Woltjer atas bantuannya.

Widgets

Kami ingin mengucapkan terima kasih kepada Marcel Voß, Serok Çelik atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: 16 Februari 2026