Informace o bezpečnostním obsahu iOS 26.2 a iPadOS 26.2

Tento dokument popisuje bezpečnostní obsah iOS 26.2 a iPadOS 26.2.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 26.2 a iPadOS 26.2

Vydáno 12. prosince 2025

App Store

K dispozici pro: iPhone 11 a novější, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 8. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé tokeny plateb.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-46288: floeki, Zhongcheng Li z týmu IES Red Team společnosti ByteDance

AppleJPEG

Dopad: Zpracování souboru může vést k poškození paměti

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Dopad: Útočník může podvrhnout své ID volajícího ve FaceTimu.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2025-46287: anonymní výzkumník, Riley Walz

curl

Dopad: Několik problémů v knihovně curl.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Dopad: Pole hesla mohou být neúmyslně odhalena při ovládání zařízení na dálku prostřednictvím FaceTime.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2025-43542: Yiğit Ocak

Foundation

Dopad: Aplikace může prostřednictvím rozhraní API kontroly pravopisu získat nesprávný přístup k souborům.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Dopad: Zpracování škodlivých dat může vést k neočekávanému ukončení aplikace.

Popis: Problém s poškozením paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-43532: Andrew Calvano a Lucas Pinheiro z týmu Meta Product Security

Icons

Dopad: Aplikaci se může podařit zjistit, jaké další aplikace má uživatel nainstalované.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Celočíselné přetečení bylo řešeno zavedením 64bitových časových značek.

CVE-2025-46285: Kaitao Xie a Xiaolong Bai ze společnosti Alibaba Group

libarchive

Dopad: Zpracování souboru může vést k poškození paměti

CVE-2025-5918

MediaExperience

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2025-43475: Rosyna Keller z týmu Totally Not Malicious Software

Messages

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se zveřejněním informací byl vyřešen vylepšenou kontrolou soukromí.

CVE-2025-46276: Rosyna Keller z týmu Totally Not Malicious Software

Multi-Touch

Dopad: Škodlivé HID zařízení může způsobit nečekané ukončení procesu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2025-43533: Google Threat Analysis Group

Photos

Dopad: Fotografie ve skrytém albu aplikace Fotky jde zobrazit bez ověření.

Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.

CVE-2025-43428: anonymní výzkumník, Michael Schmutzer z organizace Technische Hochschule Ingolstadt

Screen Time

Dopad: Aplikace může získat přístup k historii prohlížeče Safari uživatele.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2025-43538: Iván Savransky

Telephony

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen zavedením dalších kontrol oprávnění.

CVE-2025-46292: Rosyna Keller z týmu Totally Not Malicious Software

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy stavu.

WebKit Bugzilla: 301257

CVE-2025-43541: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

WebKit Bugzilla: 301726

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 300774

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

Záznam aktualizován 17 prosince 2025

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

WebKit Bugzilla: 301371

CVE-2025-43501: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.

WebKit Bugzilla: 301940

CVE-2025-43531: Phil Pizlo ze společnosti Epic Games

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být zneužit k mimořádně sofistikovanému útoku na konkrétní cílové osoby používající verze iOS starší než iOS 26. V reakci na tuto položku byla rovněž vydána CVE-2025-14174.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

WebKit Bugzilla: 302502

CVE-2025-43529: Google Threat Analysis Group

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti. Apple má informace o tom, že tento problém mohl být zneužit k mimořádně sofistikovanému útoku na konkrétní cílové osoby používající verze iOS starší než iOS 26. V reakci na tuto položku byla rovněž vydána CVE-2025-43529.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.

WebKit Bugzilla: 303614

CVE-2025-14174: Apple a Google Threat Analysis Group

WebKit Web Inspector

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

WebKit Bugzilla: 300926

CVE-2025-43511: 이동하 (Lee Dong Ha z BoB 14th)

Další poděkování

AppleMobileFileIntegrity

Poděkování za pomoc zaslouží anonymní výzkumník.

AppSandbox

Poděkování za pomoc zaslouží Mickey Jin (@patch1t).

Core Services

Poděkování za pomoc zaslouží Golden Helm Securities.

Safari

Poděkování za pomoc zaslouží Mochammad Nosa Shandy Prastyo.

Siri

Poděkování za pomoc zaslouží Richard Hyunho Im (@richeeta) ze společnosti Route Zero Security (routezero.security).

WebKit

Poděkování za pomoc zaslouží Geva Nurgandi Syahputra (gevakun).

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: 23. prosince 2025