9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios exclusivo com o Apple MDM mais poderoso e moderno do mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um custo acessível. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.
Na terça-feira, junto com o amplo lançamento do iOS 26.4, que estava em beta até então, a Apple lançou uma lista robusta de patches de segurança que abordam mais de 35 vulnerabilidades. Embora a maioria dos lançamentos de ponto único geralmente venha com um grande número de correções, há algumas delas notáveis para as quais quero chamar a atenção.
Aqui estão os que chamaram minha atenção.
Sobre mordida de segurança: A coluna semanal Security Bite e o podcast quinzenal são o seu mergulho profundo no mundo em constante evolução da segurança da Apple. Arin Waichulis é profissional de TI graduado e redator de segurança do terceiro ano na 9to5Mac. Aqui, Arin dá uma olhada nas manchetes mais críticas que afetam a privacidade e a segurança para que você possa se manter mais bem informado.
Desvio de proteção de dispositivo roubado
Este é o maior. A vulnerabilidade (CVE-2026-28895) permitiu que alguém com acesso físico a um iPhone contornasse aplicativos protegidos biometricamente usando apenas a senha, mesmo com a Proteção de Dispositivo Roubado habilitada. Isso significa que os aplicativos controlados pela opção ‘Exigir Face ID’, que os usuários podem ativar pressionando longamente o ícone do aplicativo, ainda podem ser acessados usando apenas a senha do dispositivo.
Se você acompanha o Security Bite, recentemente analisei novas alterações na proteção de dispositivos roubados em fevereiro. Uma delas é que a Apple agora habilita o recurso por padrão no iOS 26.4.
O objetivo da proteção de dispositivos roubados está no nome. Ele existe para tornar inútil um iPhone roubado, mesmo que o ladrão tenha sua senha.
Um desvio como o acima mina totalmente a premissa do recurso. A Apple diz que a correção envolveu verificações aprimoradas e o problema agora foi corrigido.
Se você estiver interessado em saber como surgiu a proteção de dispositivos roubados, aqui está a história por trás.
Um invasor local pode acessar suas chaves
CVE-2026-28864 é outro que considero interessante. Não há muitos detalhes sobre isso, mas de acordo com a Apple, um invasor local pode obter acesso aos itens do Keychain devido à verificação insuficiente de permissões.
Suas Chaves armazenam senhas, chaves de criptografia, tokens e muito mais. Uma falha aqui é um sério escalonamento de privilégios locais e, embora exija que alguém tenha fisicamente seu dispositivo em mãos, esse é exatamente um cenário para o qual a Proteção de Dispositivos Roubados foi projetada.
Suas configurações de privacidade do Mail podem não estar funcionando…
CVE-2026-20692 revelou que “Ocultar endereço IP” e “Bloquear todo o conteúdo remoto” podem não ter se aplicado a todo o conteúdo de e-mail. Portanto, se você os ativou no Mail, é possível que seu endereço IP não tenha sido ocultado dos remetentes e que as cargas remotas ainda estejam sendo transmitidas.
Não está claro o quão difundido esse problema era, mas recursos silenciosos que não funcionam silenciosamente nunca são bons.
Escape da sandbox por meio da impressão
CVE-2026-20688 permitiu que um aplicativo saísse de sua sandbox por meio de um problema de manipulação de caminho na estrutura de impressão. Isso faz parte do AirPrint que permite aos usuários imprimir coisas sem fio.
Os escapes de sandbox são sempre notáveis porque são um elo crítico nas cadeias de exploração. Quando você sai da sandbox, a superfície de ataque se abre significativamente.
Mês ruim para WebKit
Sete CVEs mais um problema de sandbox. Os destaques incluem um desvio da política de mesma origem (CVE-2026-20643), um desvio da política de segurança de conteúdo (CVE-2026-20665) e um bug que permitiu que um site malicioso processasse conteúdo restrito da web fora da sandbox (CVE-2026-28859).
Este último é particularmente preocupante.
A conclusão
Nenhum deles está listado como explorado ativamente na natureza, o que é uma boa notícia. Mas a gravidade de vários deles é notável para uma liberação de ponto único.
Um desvio da proteção de dispositivo roubado, problemas de acesso às chaves e falhas silenciosas nas configurações de privacidade do Mail não são os problemas comuns que os usuários normalmente enfrentam.
Recomendo atualizar para 26.4 em todos os seus dispositivos o mais rápido possível.
Você pode ver a lista completa de patches para iOS 26.4, macOS 26.4, tvOS 26.4, iPadOS 26.4 e outras plataformas na página de lançamentos de segurança da Apple.
Siga Arin Waichulis: LinkedIn, Threads, X
Assine o 9to5Mac Security Bite Podcast para mergulhos profundos quinzenais e entrevistas com os principais pesquisadores e especialistas em segurança da Apple:
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
