9to5Mac Security Bite presentado exclusivamente por Mosyle, la única plataforma unificada de Apple. Hacer que los dispositivos Apple estén listos para funcionar y sean seguros para la empresa es todo lo que hacemos. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad específicas de Apple líderes en la industria para un refuerzo y cumplimiento totalmente automatizados, EDR de próxima generación, Zero Trust impulsado por IA y gestión de privilegios patentados con el MDM de Apple más potente y moderno del mercado. El resultado es una plataforma unificada de Apple totalmente automatizada, utilizada actualmente por más de 45.000 organizaciones para preparar millones de dispositivos Apple para funcionar sin esfuerzo y de forma asequible. Solicita tu PRUEBA EXTENDIDA hoy y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.
El martes, junto con el lanzamiento generalizado de iOS 26.4, que anteriormente estaba en versión beta, Apple lanzó una larga lista de parches de seguridad que solucionan más de 35 vulnerabilidades. Si bien la mayoría de las versiones puntuales suelen incluir una gran cantidad de correcciones, hay algunas notables sobre las que quiero llamar su atención.
Aquí están los que me llamaron la atención.
Acerca de la seguridad: La columna semanal Security Bite y el podcast quincenal lo llevan al mundo en constante cambio de la seguridad de Apple. Arin Waichulis es un profesional de TI y escritor de seguridad de tercer año en 9to5Mac. Aquí, Arin cubre los titulares más importantes que afectan la privacidad y la seguridad para que pueda mantenerse mejor informado.
Eludir la protección de dispositivos robados
Es el más grande. La vulnerabilidad (CVE-2026-28895) permitió a una persona con acceso físico a un iPhone omitir aplicaciones protegidas biométricamente usando solo la contraseña, incluso con la protección del dispositivo robado habilitada. Esto significa que aún se puede acceder a las aplicaciones protegidas por la opción «Requerir Face ID», que los usuarios pueden activar presionando prolongadamente el ícono de una aplicación, usando solo el código de acceso del dispositivo.
si seguiste Mordida de seguridadRecientemente detallé nuevos cambios en la protección de dispositivos robados en febrero. Uno de ellos es que Apple ahora habilita la función de forma predeterminada en iOS 26.4.
El objetivo de Stolen Device Protection está en el nombre. Está ahí para inutilizar un iPhone robado incluso si el ladrón tiene su contraseña.
Una solución alternativa como la anterior socava por completo el principio de funcionalidad. Apple dice que la solución implicó controles mejorados y el problema ya está solucionado.
Si está interesado en crear protección contra dispositivos robados, aquí tiene la historia.
Un atacante local podría acceder a su llavero
CVE-2026-28864 es otro que encontré interesante. No hay muchos detalles sobre esto, pero según Apple, un atacante local podría acceder a elementos del llavero debido a una verificación de permisos insuficiente.
Su llavero almacena contraseñas, claves de cifrado, tokens y más. Lihat juga yuef. Una falla aquí es una escalada de privilegios locales bastante grave, y si bien eso requiere que alguien tenga físicamente su dispositivo en la mano, ese es exactamente un escenario para el que está diseñada la protección de dispositivos robados.
Es posible que la configuración de privacidad de tu correo no funcione…
CVE-2026-20692 reveló que «Ocultar dirección IP» y «Bloquear todo el contenido remoto» pueden no aplicarse a todo el contenido del correo. Entonces, si estas opciones estuvieran habilitadas en Mail, es posible que su La dirección IP no se ocultó a los remitentes y las cargas remotas continuaron realizándose.
No está claro qué tan extendido estaba este problema, pero las funciones silenciosas que no funcionan silenciosamente nunca son buenas.
Escapa del entorno limitado con la impresión
CVE-2026-20688 permitió que una aplicación escapara de su zona de pruebas a través de un problema de administración de rutas en el marco de impresión. Esto es parte de AirPrint que permite a los usuarios imprimir elementos de forma inalámbrica.
Las fugas de sandbox siempre son notables porque son un eslabón crítico en las cadenas de explotación. Una vez fuera del sandbox, la superficie de ataque se abre considerablemente.
Mal mes para WebKit
Siete CVE más un problema de zona de pruebas. Los aspectos más destacados incluyen una omisión de políticas del mismo origen (CVE-2026-20643), una omisión de políticas de seguridad de contenido (CVE-2026-20665) y un error que permitió a un sitio web malicioso procesar contenido web restringido fuera del entorno de pruebas (CVE-2026-28859).
Este último punto es especialmente preocupante.
Comidas para llevar
Ninguno de ellos figura como recolectado activamente en la naturaleza, lo cual es una buena noticia. Pero la gravedad de varios de ellos es notable para un solo punto.
Evitar la protección de dispositivos robados, problemas de acceso al llavero y fallas silenciosas en la configuración de privacidad del correo electrónico no son los problemas comunes que los usuarios suelen enfrentar.
Recomiendo actualizar a 26.4 en todos sus dispositivos lo antes posible.
Puede ver la lista completa de correcciones para iOS 26.4, macOS 26.4, tvOS 26.4, iPadOS 26.4 y otras plataformas en Página de versiones de seguridad de Apple.
Siga a Arin Waichulis: LinkedIn, Temas, incógnita
Suscríbase al podcast 9to5Mac Security Bite para obtener revisiones y entrevistas en profundidad quincenales con los principales investigadores y expertos en seguridad de Apple:
