Sobre o conteúdo de segurança do iOS 26.3 e do iPadOS 26.3

Este documento descreve o conteúdo de segurança do iOS 26.3 e do iPadOS 26.3.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

iOS 26.3 e iPadOS 26.3

Lançado em 11 de fevereiro de 2026

Accessibility

Disponível para: iPhone 11 e posterior, iPad Pro de 12,9 polegadas de 3ª geração e posterior, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 8ª geração e posterior e iPad mini de 5ª geração e posterior

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20645: Loh Boon Keat

Accessibility

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas

Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Impacto: um invasor em uma posição de rede privilegiada pode executar ataque de negação de serviço usando pacotes Bluetooth criados com códigos maliciosos

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação.

CVE-2026-20650: jioundai

Call History

Impacto: um usuário com as extensões do app Live Caller ID desativadas pode ter informações de identificação vazadas para as extensões

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) do Hasso Plattner Institute

CFNetwork

Impacto: um usuário remoto pode gravar arquivos arbitrários

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na lógica.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-20611: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

CoreMedia

Impacto: processar um arquivo criado com códigos mal-intencionados pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Impacto: um app pode obter privilégios raiz

Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) de Iru

CoreServices

Impacto: um app pode obter privilégios raiz

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2026-20615: Csaba Fitzl (@theevilbit) de Iru e Gergely Kalman (@gergely_kalman)

CoreServices

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: havia um problema na análise de variáveis do ambiente. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2026-20627: pesquisador anônimo

dyld

Impacto: um invasor com capacidade de escrita na memória pode ser capaz de executar código arbitrário. A Apple está ciente de um relatório de que esse problema pode ter sido explorado em um ataque extremamente sofisticado contra indivíduos específicos como alvo em versões do iOS anteriores ao iOS 26. CVE-2025-14174 e CVE-2025-43529 também foram emitidos em resposta a esse relatório.

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Impacto: um usuário pode conseguir visualizar informações confidenciais de outro usuário

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2026-20649: Asaf Cohen

ImageIO

Impacto: processar uma imagem criada com códigos maliciosos pode levar à divulgação de informações do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2026-20675: George Karchemsky (@gkarchemsky) em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Impacto: processar uma imagem criada com códigos maliciosos poderia resultar na divulgação da memória de processamento

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20634: George Karchemsky (@gkarchemsky) em parceria com a Zero Day Initiative da Trend Micro

Kernel

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Impacto: um app mal-intencionado pode obter privilégios de raiz

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2026-20626: Keisuke Hosoda

Kernel

Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de rede

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy e Mathy Vanhoef

LaunchServices

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: o problema foi resolvido pela sanitização do registro.

CVE-2026-20663: Zhongcheng Li da IES Red Team

libexpat

Impacto: o processamento de um arquivo criado de maneira mal-intencionada pode levar a uma negação de serviço

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-59375

libxpc

Impacto: um app pode conseguir sair de sua área restrita

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2026-20667: pesquisador anônimo

Live Captions

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20655: Richard Hyunho Im (@richeeta) na Route Zero Security (routezero.security)

Messages

Impacto: um atalho pode conseguir ignorar as restrições do sandbox

Descrição: uma condição de corrida foi resolvida por meio de melhorias no manuseio de links simbólicos.

CVE-2026-20677: Ron Masas da BreakPoint.SH

Photos

Impacto: uma pessoa com acesso físico a um dispositivo iOS pode acessar fotos pela tela bloqueada

Descrição: um problema na validação de entradas foi resolvido.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Impacto: um app pode conseguir sair de sua área restrita

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20678: Óscar García Pérez e Stanislav Jelezoglo

Screenshots

Impacto: um invasor pode conseguir descobrir as notas apagadas de um usuário

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de análise no processamento de caminhos de diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Impacto: um app em sandbox pode ter acesso a dados confidenciais de usuários

Descrição: o problema foi resolvido com restrições adicionais à capacidade de observação dos estados do app.

CVE-2026-20680: pesquisador anônimo

StoreKit

Impacto: um app poderia identificar quais outros apps tinham sido instalados por um usuário

Descrição: um problema na privacidade foi resolvido por meio de melhorias nas verificações.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

CVE-2026-20606: LeminLimez

UIKit

Impacto: um invasor com acesso físico ao iPhone pode conseguir tirar e visualizar capturas de tela de dados confidenciais do iPhone durante o espelhamento do iPhone com o Mac

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20661: Dalibor Milanovic

WebKit

Impacto: um invasor remoto podia causar uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing, da TSDubhe, e Nan Wang (@eternalsakura13)

WebKit

Impacto: um site pode conseguir rastrear usuários por meio das extensões da web do Safari

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing, da TSDubhe, e Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20621: Wang Yu da Cyberserval

Outros reconhecimentos

Accessibility

Gostaríamos de agradecer a Himanshu Bharti (@Xpl0itme) da Khatima pela ajuda.

Bluetooth

Gostaríamos de agradecer a Tommaso Sacchetti pela ajuda.

Contacts

Gostaríamos de agradecer a Atul Kishor pela ajuda.

Kernel

Gostaríamos de agradecer a Joseph Ravichandran (@0xjprx) do MIT CSAIL e Xinru Chi do Pangu Lab pela ajuda.

libpthread

Gostaríamos de agradecer a Fabiano Anemone pela ajuda.

Managed Configuration

Gostaríamos de agradecer a kado pela ajuda.

NetworkExtension

Gostaríamos de agradecer a Gongyu Ma (@Mezone0) pela ajuda.

Shortcuts

Gostaríamos de agradecer a Robert Reichel pela ajuda.

Transparency

Gostaríamos de agradecer a Wojciech Regula da SecuRing (wojciechregula.blog) pela ajuda.

Wallet

Gostaríamos de agradecer a Aaron Schlitt (@aaron_sfn) do Hasso Plattner Institute, Cybersecurity — Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) e Marco Bartoli (@wsxarcher) pela ajuda.

WebKit

Gostaríamos de agradecer a David Wood, EntryHi, Luigino Camastra da Aisle Research, Stanislav Fort da Aisle Research, Vsevolod Kokorin (Slonser) da Solidlab e Jorian Woltjer pela ajuda.

Widgets

Gostaríamos de agradecer a Marcel Voß, Serok Çelik pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 16 de fevereiro de 2026