9to5Mac Security Byte exclusivo para usted Mosyle, la única plataforma unificada de Apple. Lo que hacemos es preparar los dispositivos Apple para que funcionen y sean seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad de última generación específicas de Apple para una gestión de privilegios exclusiva con protección y cumplimiento totalmente automatizados, EDR de próxima generación, Zero Trust impulsado por IA y el MDM de Apple más potente y moderno del mercado. El resultado es una Plataforma Unificada Apple totalmente automatizada en la que ahora confían más de 45.000 organizaciones para poner en funcionamiento los dispositivos Apple sin esfuerzo y a un costo asequible. Su solicitud de prueba extendida Hoy y por qué Mosyle entiende todo lo que necesita para trabajar con Apple.
El martes, con el lanzamiento generalizado de iOS 26.4, que hasta entonces estaba en versión beta, Apple lanzó una lista masiva de parches de seguridad que abordan más de 35 vulnerabilidades. Si bien la mayoría de las versiones de un solo punto suelen incluir una gran cantidad de correcciones, hay algunas cosas notables en las que me gustaría centrarme.
Aquí están los que me llamaron la atención.
Acerca de las picaduras de seguridad: La columna semanal Security Byte y el podcast quincenal son inmersiones profundas en el mundo en constante evolución de la seguridad de Apple. Arin Vaichulis es un profesional de TI titulado y escritor de seguridad de tercer año. 9 a 5 Mac. Aquí, Orin analiza los titulares más importantes que afectan la privacidad y la seguridad para que pueda mantenerse mejor informado.
Omitir la protección del dispositivo robado
Este es el más grande. La vulnerabilidad (CVE-2026-28895) permite a alguien con acceso físico a un iPhone omitir aplicaciones protegidas biométricamente usando solo un código de acceso, incluso con la protección de dispositivo robado habilitada. Esto significa que solo se puede acceder a las aplicaciones cerradas por la opción ‘Requerir Face ID’, que los usuarios pueden habilitar presionando prolongadamente el ícono de una aplicación, usando el código de acceso del dispositivo.
te han seguido Mordida de seguridadRecientemente analicé los nuevos cambios de seguridad de los dispositivos robados en febrero. Una de ellas es que Apple ahora habilita la función de forma predeterminada en iOS 26.4.
El objetivo de la protección de dispositivos robados está en el nombre. Incluso si el ladrón tiene su contraseña, puede inutilizar un iPhone robado.
Una derivación como la anterior reduce por completo la base de la función. Apple dice que la solución implica controles mejorados y el problema ya se ha solucionado.
Si tiene curiosidad acerca de cómo se construye la protección de dispositivos robados, aquí le explicamos la historia.
Un atacante local puede acceder a su llavero
CVE-2026-28864 es otro que encontré atractivo. No hay detalles completos sobre esto, pero según Apple, un atacante local podría obtener acceso a los elementos del Llavero debido a una verificación de permisos insuficiente.
Su llavero almacena contraseñas, claves de cifrado, tokens y más. Una falla aquí es una escalada de privilegios locales bastante grave, y si bien requiere que alguien controle físicamente su dispositivo, ese es exactamente el escenario para el que está diseñada Stolen Device Protection.
La configuración de privacidad de tu correo no funciona…
CVE-2026-20692 reveló que “Ocultar dirección IP” y “Bloquear todo el contenido remoto” pueden no aplicarse a todo el contenido del correo. Entonces, si los tienes activados en Mail, existe la posibilidad de que La dirección IP no se ocultó a los remitentes y la carga remota aún se logró.
No está claro qué tan extendido estaba este problema, pero nunca es bueno tener funciones silenciosas que no funcionen en silencio.
Escapa del entorno limitado imprimiendo
CVE-2026-20688 permitió que una aplicación saliera de su zona de pruebas debido a un problema de manejo de ruta en el marco de impresión. Es parte de AirPrint que permite a los usuarios imprimir cosas de forma inalámbrica.
Los escapes de sandbox siempre son notables porque son un eslabón importante en la cadena de exploits. Una vez que sales de la zona de pruebas, la superficie de ataque se abre significativamente.
Mal mes para WebKit
Siete CVE y un problema de zona de pruebas. Los aspectos más destacados incluyen una omisión de la política del mismo origen (CVE-2026-20643), una omisión de la política de protección de contenido (CVE-2026-20665) y un error que permitía a un sitio web malicioso procesar contenido web restringido fuera de un entorno limitado (CVE-2026-28859).
Esto último es particularmente preocupante.
Llevar
Ninguno de ellos figura como explotado activamente en la naturaleza, lo cual es una buena noticia. Pero varios de ellos tienen intensidades significativas para liberaciones de un solo punto.
Una omisión de seguridad de dispositivo robado, problemas de acceso al llavero y configuraciones de privacidad de correo que fallan silenciosamente no son los problemas comunes y corrientes que los usuarios suelen enfrentar.
Recomiendo actualizar todos sus dispositivos a 26.4 lo antes posible.
Puedes ver la lista completa de parches para iOS 26.4, macOS 26.4, tvOS 26.4, iPadOS 26.4 y otras plataformas Página de divulgación de seguridad de Apple.
Siga a Orin Vaichulis: LinkedIn, hilo, incógnita
Suscríbase al podcast 9to5Mac Security Bytes para profundizar cada dos semanas y entrevistas con investigadores y expertos en seguridad de Apple:
