Informationen zum Sicherheitsinhalt von iOS 26 und iPadOS 26

In diesem Dokument wird der Sicherheitsinhalt von iOS 26 und iPadOS 26 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 26 und iPadOS 26

Veröffentlicht am 15. September 2025

Apple Neural Engine

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43344: Ein anonymer Forscher

AppleMobileFileIntegrity

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43346: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Bluetooth

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-43354: Csaba Fitzl (@theevilbit) von Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) von Kandji

Call History

Auswirkung: Eine App kann möglicherweise auf den Fingerabdruck eines Benutzers zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2025-43357: Rosyna Keller von Totally Not Malicious Software, Guilherme Rambo von Best Buddy Apps (rambo.codes)

CoreAudio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-43349: @zlluny in Zusammenarbeit mit der Trend Micro Zero Day Initiative

CoreMedia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2025-43372: 이동하 (Lee Dong Ha) von SSA Lab

IOHIDFamily

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43302: Keisuke Hosoda

IOKit

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-31255: Csaba Fitzl (@theevilbit) von Kandji

Kernel

Auswirkung: Ein UDP-Server-Socket, das an eine lokale Schnittstelle gebunden ist, kann sich möglicherweise an alle Schnittstellen binden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Auswirkung: Eine App kann möglicherweise ohne Zustimmung des Benutzers die Tastatureingabe überwachen

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-43362: Philipp Baldauf

MobileStorageMounter

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-43355: Dawuge von Shuffle Team

Notes

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein entsperrtes Gerät kann möglicherweise ein Bild in der zuletzt angezeigten gesperrten Notiz anzeigen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2025-43203: Tom Brzezinski

Safari

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einer unerwarteten URL-Umleitung führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte URL-Überprüfung behoben.

CVE-2025-31254: Evan Waelde

Sandbox

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-43329: Ein anonymer Forscher

Shortcuts

Auswirkung: Ein Kurzbefehl kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2025-43358: 정답이 아닌 해답

Siri

Auswirkung: Auf Tabs für privates Surfen kann ohne Authentifizierung zugegriffen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Auswirkung: Die Verarbeitung einer Datei kann zu einer Beschädigung des Speichers führen

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-6965

System

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

Text Input

Auswirkung: Tastaturvorschläge können sensible Informationen auf dem Sperrbildschirm anzeigen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2025-24133: Joey Hewitt, ein anonymer Forscher, Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) & Richard Hyunho Im (@richeeta), Mark Bowers, Dylan Rollins, Arthur Baudoin, Andr.Ess

WebKit

Auswirkung: Eine Website kann möglicherweise ohne Einwilligung des Benutzers auf Sensorinformationen zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 296490

CVE-2025-43343: Ein anonymer Forscher

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Korrektheitsproblem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 296042

CVE-2025-43342: Ein anonymer Forscher

WebKit Process Model

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial von REDTEAM.PL in Zusammenarbeit mit der Trend Micro Zero Day Initiative

Zusätzliche Danksagung

Accessibility

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von C-DAC Thiruvananthapuram, Indien, Himanshu Bharti (@Xpl0itme) von Khatima für die Unterstützung bedanken.

Accounts

Wir möchten uns bei Lehan Dilusha Jayasingha, 要乐奈 für die Unterstützung bedanken.

AuthKit

Wir möchten uns bei Rosyna Keller von Totally Not Malicious Software für die Unterstützung bedanken.

Calendar

Wir möchten uns bei Keisuke Chinone (Iroiro) für die Unterstützung bedanken.

Camera

Wir möchten uns bei Descartes, Yusuf Kelany und einem anonymen Forscher für die Unterstützung bedanken.

CFNetwork

Wir möchten uns bei Christian Kohlschütter für die Unterstützung bedanken.

CloudKit

Wir möchten uns bei Yinyi Wu (@_3ndy1) vom Dawn Security Lab von JD.com, Inc für die Unterstützung bedanken.

Control Center

Wir möchten uns bei Damitha Gunawardena für die Unterstützung bedanken.

CoreMedia

Wir möchten uns bei und Noah Gregory (wts.dev) für die Unterstützung bedanken.

darwinOS

Wir möchten uns bei Nathaniel Oh (@calysteon) für die Unterstützung bedanken.

Device Recovery

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Files

Wir möchten uns bei Tyler Montgomery für die Unterstützung bedanken.

Foundation

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Kandji für die Unterstützung bedanken.

iCloud Photo Library

Wir möchten uns bei Dawuge vom Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) und ChengQiang Jin (@白斩鸡) vom DBAppSecurity WeBin Lab für die Unterstützung bedanken.

ImageIO

Wir möchten uns bei DongJun Kim (@smlijun) und JongSeong Kim (@nevul37) bei Enki WhiteHat für die Unterstützung bedanken.

IOGPUFamily

Wir möchten uns bei Wang Yu von Cyberserval für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Yepeng Pan und Prof. Dr. Christian Rossow für die Unterstützung bedanken.

libc

Wir möchten uns bei Nathaniel Oh (@calysteon) für die Unterstützung bedanken.

libpthread

Wir möchten uns bei Nathaniel Oh (@calysteon) für die Unterstützung bedanken.

libxml2

Wir möchten uns bei Nathaniel Oh (@calysteon) für die Unterstützung bedanken.

Lockdown Mode

Wir möchten uns bei Jonathan Thach, Pyrophoria und Ethan Day, kado für die Unterstützung bedanken.

mDNSResponder

Wir möchten uns bei Barrett Lyon für die Unterstützung bedanken.

MediaRemote

Wir möchten uns bei Dora Orak für die Unterstützung bedanken.

MobileBackup

Wir möchten uns bei Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) für die Unterstützung bedanken.

Networking

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Kandji für die Unterstützung bedanken.

Notes

Wir möchten uns bei Atul R V für die Unterstützung bedanken.

Passwords

Wir möchten uns bei Christian Kohlschütter für die Unterstützung bedanken.

Phone

Wir möchten uns bei und Dalibor Milanovic für die Unterstützung bedanken.

Safari

Wir möchten uns bei Ameen Basha M K, Chi Yuan Chang von ZUSO ART und taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew für die Unterstützung bedanken.

Sandbox Profiles

Wir möchten uns bei Rosyna Keller von Totally Not Malicious Software für die Unterstützung bedanken.

Security

Wir möchten uns bei Jatayu Holznagel (@jholznagel), THANSEER KP für die Unterstützung bedanken.

Setup Assistant

Wir möchten uns bei Edwin R. für die Unterstützung bedanken.

Siri

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von Safran Mumbai India, Amandeep Singh Banga, Andrew Goldberg von der McCombs School of Business, University of Texas in Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) für die Unterstützung bedanken.

Siri Suggestions

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von C-DAC Thiruvananthapuram India für die Unterstützung bedanken.

Spotlight

Wir möchten uns bei Christian Scalese, Jake Derouin (jakederouin.com) für die Unterstützung bedanken.

Status Bar

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von Safran Mumbai India, Dalibor Milanovic, Jonathan Thach fü rdie Unterstützung bedanken.

Transparency

Wir möchten uns bei Wojciech Regula von SecuRing (wojciechregula.blog), 要乐奈 für die Unterstützung bedanken.

User Management

Wir möchten uns bei Muhaned Almoghira für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Bob Lord, Matthew Liang, Mike Cardwell von grepular.com, Stanley Lee Linton für die Unterstützung bedanken.

Wi-Fi

Wir möchten uns bei Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) von Kandji, Noah Gregory (wts.dev), Wojciech Regula von SecuRing (wojciechregula.blog) und einem anonymen Forscher für die Unterstützung bedanken.

Widgets

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von Safran Mumbai India für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: September 19, 2025