Albisteak

Apple-en segurtasuna eguneratzea - 2026eko martxoa

Argitalpen-data: 

Laburpen exekutiboa

2026ko martxoan zehar, Applek segurtasun‑eguneratzeak argitaratu ditu, guztira 27 ahultasun larri eta kritiko zuzentzen dituztenak. Horien artean, 3 kritikoak dira (CVSS ≥ 9.0), 24 larritasun handikoak (CVSS 7.0 eta 8.9 artean), eta 2 ustiapen aktiboko ebidentziarekin.

Ahultasun hauek Apple-ren hainbat sistema eragileri eragiten diete, besteak beste: iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS eta Safari. Aholkatzen da ahalik eta lasterren eguneratzea gailu kaltetuenak, segurtasun-arrisku horiek murrizteko.

Eragindako baliabideak

  • iOS: 26.4, 18.7.7, 26.3.1, 16.7.15, 15.8.7, 26.3.1, 18.7.6
  • iPadOS: 26.4, 18.7.7, 26.3.1, 16.7.15, 15.8.7, 26.3.1
  • macOS: Tahoe 26.4, Sequoia 15.7.5, Sonoma 14.8.5, 26.3.1, 26.3.2, Tahoe 26.3.2, Tahoe 26.3.1
  • tvOS: 26.4
  • watchOS: 5.3.10, 8.8.2, 26.4
  • visionOS: 26.4
  • Safari: 26.4
  • Xcode: 26.4

Azterketa teknikoa

  • CVE-2026-28858: Bufferraren gaineko desbordamendu bat konpondu zen muga egiaztapen hobetua erabiliz. Arazo hau zuzenduta dago iOS 26.4 eta iPadOS 26.4 bertsioetan. Erabiltzaile urrun batek sistemaren itxiera ustekabea eragin dezake edo kernelaren memoria kaltetzea eragin dezake.
    • CWE-120
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-20688: Ruta kudeaketa arazo bat hobetutako balidazioarekin konpondu zen. Arazo hau zuzenduta dago iOS 26.4 eta iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4, visionOS 26.4 bertsioetan. Aplikazio batek bere sandbox-a utzi dezake.
    • CWE-22
    • CVSS: 9.3 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-28827: Arazo bat aztertzeko kudeaketa hobetutako ibilbideetako bideak balidatuz konpondu zen. Arazo hau zuzenduta dago macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 bertsioetan. Aplikazio batek bere sandbox-a saihestu dezake.
    • CWE-22
    • CVSS: 9.3 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-20631: Logika arazo bat konpondu zen egiaztapen hobeekin. Arazo hau konpondu da macOS Tahoe 26.4 bertsioan. Erabiltzaile batek pribilegioak altuagoetara igotzea eragin dezake.
    • CWE N/A
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2023-43010: Arazoa memoria kudeaketa hobetuz jorratu zen. Arazo hau konpondu zen iOS 17.2 eta iPadOS 17.2, macOS Sonoma 14.2, Safari 17.2, iOS 16.7.15 eta iPadOS 16.7.15, iOS 15.8.7 eta iPadOS 15.8.7 bertsioetan. Web edukia gaizki diseinatuta dagoenak memoria korruptela eragin dezake.
    • CWE-787
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2024-23222: Arazo bat konpondu zen moten nahastearekin, egiaztapen hobetuekin. Arazo hau zuzenduta dago tvOS 17.3, iOS 17.3 eta iPadOS 17.3, macOS Sonoma 14.3, iOS 16.7.5 eta iPadOS 16.7.5, Safari 17.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3 bertsioetan. Helburu gaiztoekin sortutako web edukien prozesatzeak kode arbitrarioaren exekuzioa eragin dezake. Applek jakitun da arazo hau aprobetxatu izan dela adierazten duen txosten baten berri.
    • CWE-843
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2023-43000: Askatu ondoren erabilera arazo bat kudeaketa hobetuz abordatu zen. Arazo hau zuzenduta dago macOS Ventura 13.5, iOS 16.6 eta iPadOS 16.6, Safari 16.6, iOS 15.8.7 eta iPadOS 15.8.7 bertsioetan. Web edukia gaizki diseinatuta prozesatzeak memoria korruptzioa eragin dezake.
    • CWE-416
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Detektatu da
  • CVE-2026-28832: Askatu ondoren erabilera arazo bat konpondu zen muga egiaztapen hobetua erabiliz. Arazo hau zuzenduta dago macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 bertsioetan. Aplikazio batek kernel-eko memoria argitaratu dezake.
    • CWE-125
    • CVSS: 8.4 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-28821: Arau-berritzean egiaztapen eskubideetan arazo bat zegoen. Arazo hau prozesuaren eskubidearen egiaztapen hobetua erabiliz jorratu zen. Arazo hau konpondu da macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 bertsioetan. Aplikazio batek altuagoak diren pribilegioak lortu ditzake.
    • CWE-20
    • CVSS: 8.4 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-58098: HTTP zerbitzari Apache 2.4.65 eta aurreko bertsioek, Server Side Includes (SSI) aktibatuta eta mod_cgid (baina ez mod_cgi) dituztenek, kontsulta kate iheskatua shell-era pasatzen dute #exec cmd="..." direktibetara. Arazo hau HTTP zerbitzari Apache-ri eragiten dio 2.4.66 bertsioa baino lehen. Erabiltzaileei gomendatzen zaie 2.4.66 bertsiora eguneratzea, arazoa konpontzen baitu.
    • CWE-201
    • CVSS: 8.3 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
    • Explotazioa: Ez da detektatu
  • CVE-2026-28891: Lehiaketa bat kudeaketa osagarri batekin aztertu zen. Arazo hau zuzenduta dago macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 bertsioetan. Aplikazio batek bere sandbox-a utzi dezake.
    • CWE-362
    • CVSS: 8.1 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-28817: Lehiaketa bat kudeaketa hobetua erabiliz konpondu zen. Arazo hau zuzenduta dago macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 bertsioetan. Sandbox-ean dagoen prozesu batek sandbox-eko murrizketak saihestu ditzake.
    • CWE-362
    • CVSS: 8.1 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-20698: Arazoa memoria kudeaketa hobetuz landu zen. Arazo hau konpondu zen iOS 26.4 eta iPadOS 26.4, macOS Tahoe 26.4, tvOS 26.4, visionOS 26.4, watchOS 26.4 bertsioetan. Aplikazio batek sistemaren itxiera ustekabea eragin dezake edo kernelaren memoria kaltetzea.
    • CWE-787
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2023-41974: Askatu ondoren erabilera arazo bat konpondu zen memoria kudeaketa hobetuz. Arazo hau zuzenduta dago iOS 17 eta iPadOS 17 bertsioetan. Aplikazio batek kernelaren pribilejioekin kode arbitrarioa exekutatu dezakeela posible da.
    • CWE-416
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Detektatu da
  • CVE-2026-28874: Arazoa hobetu egin zen egiaztapenak indartuz. Arazo hau konpondu da iOS 26.4 eta iPadOS 26.4 bertsioetan. Erasotzaile urrun batek aplikazioaren itxiera ustekabea eragin dezake.
    • CWE-400
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-28894: Arazoi bat zerbitzuaren ukatzea hobetutako sarrera balorazioarekin konpondu zen. Arazo hau zuzenduta dago iOS 26.4 eta iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 bertsioetan. Erasotzaile urrun batek zerbitzuaren ukatzea eragin dezake.
    • CWE-20
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-28875: Buffer gainezkotze bat hobetutako muga egiaztapenarekin konpondu zen. Arazo hau zuzenduta dago iOS 26.4 eta iPadOS 26.4 bertsioetan. Erasotzaile urrun batek zerbitzuaren ukatzea eragin dezake.
    • CWE-120
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-28865: Autentifikazio arazo bat estatuaren kudeaketa hobetuz jorratu zen. Arazo hau konpondu zen iOS 18.7.7 eta iPadOS 18.7.7, iOS 26.4 eta iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4, tvOS 26.4, visionOS 26.4, watchOS 26.4 bertsioetan. Erasotzaile batek sareko posizio pribilegiatu batean trafikoaren iragazketa egiteko gai izan daiteke.
    • CWE-285
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-28876: Arazoi bat direktorio bideen kudeaketan analisiaren inguruan hobetutako bideen balidazioarekin jorratu zen. Arazo hau konpondu zen iOS 18.7.7 eta iPadOS 18.7.7, iOS 26.4 eta iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4, visionOS 26.4 bertsioetan. Aplikazio batek erabiltzailearen datu sentikorrak eskuratu ditzake.
    • CWE-284
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-43376: Logika arazo bat kudeaketa hobetua erabiliz landu zen. Arazo hau konpondu zen Safari 26, tvOS 26, watchOS 26, iOS 26, iPadOS 26 eta visionOS 26 bertsioetan. Erasotzaile urrun batek DNS kontsultak filtratuta ikusteko gai izan daiteke Private Relay aktibatuta dagoenean.
    • CWE N/A
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-59775: Ahultasun bat Server-Side Request Forgery (SSRF) Apache HTTP Server-en Windows-en AllowEncodedSlashes aktibatuta eta MergeSlashes desaktibatuta dagoenean, potentzialki NTLM hash-ak zerbitzari gaizto batera filtratzea ahalbidetzen du SSRF eta eskaera edo edukia gaiztoa bidez. Erabiltzaileei gomendatzen zaie 2.4.66 bertsiora eguneratzea, arazoa konpontzen duen bertsioa.
    • CWE-918
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2026-28837: Logika arazo bat konpondu zen egiaztapen hobeekin. Arazo hau konpondu da macOS Tahoe 26.4 bertsioan. Aplikazio batek erabiltzailearen datu sentikorrak eskuratu ditzake.
    • CWE-284
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2026-28842: Arazoa hobetutako muga egiaztapenekin landu zen. Arazo hau konpondu zen macOS Tahoe 26.4 bertsioan. Bufferren gainditzeak memoria korruptela eta aplikazioaren itxiera ustekabea eragin dezake.
    • CWE-122
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2026-20701: Sakonera murriztuekin sarbide arazo bat jorratu zen. Arazo hau konpondu da macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 bertsioetan. Aplikazio batek erabiltzailearen baimenik gabe sareko baliabide partekatu batera konektatu daiteke.
    • CWE-693
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-55753: Osagai oso baten gaineko desbordamendu bat ACME ziurtagiriaren berritzean akatsak izateak, akats kopuru baten ondoren (~30 egun konfigurazio lehenetsietan), atzerako tenporizatzailea 0 bihurtzea eragiten du. Ziurtagiria berritzeko saiakerak beraz, arrakasta izan arte, atzerapenik gabe errepikatzen dira. Arazo honek Apache HTTP Zerbitzaria eragiten du: 2.4.30 bertsioetik 2.4.66 bertsioa baino lehenagoko bertsioetara. Erabiltzaileei 2.4.66 bertsiora eguneratzea gomendatzen zaie, arazoa konpontzen duena.
    • CWE-190
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2026-20660: Ruta kudeaketarekin lotutako arazo bat hobetutako logikarekin abordatu zen. Arazo hau konpondu zen macOS Tahoe 26.3, macOS Sonoma 14.8.4, iOS 18.7.5 eta iPadOS 18.7.5, visionOS 26.3, iOS 26.3 eta iPadOS 26.3, Safari 26.3 bertsioetan. Erabiltzaile urrun batek fitxategi arbitrarioak idatzi ditzake.
    • CWE N/A
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2026-20639: Osatu zen osagai oso baten gaineko gainditze bat sarrera balorazio hobea eginez. Arazo hau zuzenduta dago macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.3 bertsioetan. Helburu gaiztoetarako sortutako kate baten prozesatzeak pilaren ustelkeria eragin dezake.
    • CWE-190
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotazioa: Ez da detektatu

Arintzea/Konponbidea

Apple-ek gomendatzen du sistema kaltetuak eskuragarri dauden azken bertsioetara eguneratzea:

  • iOS eta iPadOS: Eskuragarri dagoen azken bertsiora eguneratu
  • macOS Sequoia: Eskuragarri dagoen azken bertsiora eguneratu
  • macOS Sonoma: Eskuragarri dagoen azken bertsiora eguneratu
  • macOS Ventura: Eskuragarri dagoen azken bertsiora eguneratu
  • tvOS: Eskuragarri dagoen azken bertsiora eguneratu
  • watchOS: Eskuragarri dagoen azken bertsiora eguneratu
  • visionOS: Eskuragarri dagoen azken bertsiora eguneratu
  • Safari: Eskuragarri dagoen azken bertsiora eguneratu

Erreferentzia gehigarriak