Informationen zum Sicherheitsinhalt von iOS 26 und iPadOS 26

In diesem Dokument wird der Sicherheitsinhalt von iOS 26 und iPadOS 26 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 26 und iPadOS 26

Veröffentlicht am 15. September 2025

Apple Neural Engine

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43344: ein anonymer Forscher

AppleMobileFileIntegrity

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43346: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Audio

Auswirkung: Eine bösartige App kann möglicherweise den Kernelspeicher auslesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Eintrag hinzugefügt am 3. November 2025

Authentication Services

Auswirkung: Passwortfelder werden möglicherweise unbeabsichtigt offengelegt.

Beschreibung: Das Problem wurde durch verbesserte UI behoben.

CVE-2025-43360: Nikita Sakalouski

Eintrag hinzugefügt am 3. November 2025

Bluetooth

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-43354: Csaba Fitzl (@theevilbit) von Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) von Kandji

Call History

Auswirkung: Eine App kann möglicherweise auf den Fingerabdruck eines Benutzers zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2025-43357: Rosyna Keller von Totally Not Malicious Software, Guilherme Rambo von Best Buddy Apps (rambo.codes)

CloudKit

Auswirkung: Eine App kann möglicherweise auf den Fingerabdruck eines Benutzers zugreifen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-43323: Yinyi Wu (@_3ndy1) vom Dawn Security Lab von JD.com, Inc

Eintrag hinzugefügt am 3. November 2025

CoreAudio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-43349: @zlluny in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreMedia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2025-43372: 이동하 (Lee Dong Ha) von SSA Lab

ImageIO

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43338: 이동하 (Lee Dong Ha) von SSA Lab

Eintrag hinzugefügt am 3. November 2025

IOHIDFamily

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43302: Keisuke Hosoda

IOKit

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-31255: Csaba Fitzl (@theevilbit) von Kandji

Kernel

Auswirkung: Ein an eine lokale Schnittstelle gebundener UDP-Server-Socket kann an alle Schnittstellen gebunden werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-43359: Viktor Oreshkin

Kernel

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Korrektheitsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-43345: Mickey Jin (@patch1t)

Eintrag hinzugefügt am 3. November 2025

LaunchServices

Auswirkung: Eine App kann möglicherweise ohne Zustimmung des Benutzers die Tastatureingabe überwachen

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-43362: Philipp Baldauf

MetricKit

Auswirkung: Ein Prozess ohne Berechtigungen kann möglicherweise Root-Prozesse beenden.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-43365: Minghao Lin (@Y1nKoc) und Lyutoon (@Lyutoon_) und YingQi Shi (@Mas0n)

Eintrag hinzugefügt am 3. November 2025

MobileStorageMounter

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-43355: Dawuge von Shuffle Team

Notes

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein entsperrtes Gerät kann möglicherweise ein Bild in der zuletzt angezeigten gesperrten Notiz anzeigen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2025-43203: Tom Brzezinski

Notifications

Auswirkung: Ein Angreifer mit physischem Zugang zu einem iOS-Gerät kann möglicherweise Inhalte von Mitteilungen auf dem Sperrbildschirm sehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-43309: Abhay Kailasia (@abhay_kailasia) von C-DAC Thiruvananthapuram India

Eintrag hinzugefügt am 3. November 2025

QuickLook

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Keynote-Datei kann Speicherinhalte offenlegen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-46306: KPC von Cisco Talos

Eintrag hinzugefügt am 28. Januar 2026

Safari

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einer unerwarteten URL-Weiterleitung führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte URL-Überprüfung behoben.

CVE-2025-31254: Evan Waelde

Sandbox

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-43329: ein anonymer Forscher

Shortcuts

Auswirkung: Ein Kurzbefehl kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2025-43358: 정답이 아닌 해답

Siri

Auswirkung: Auf Tabs für privates Surfen kann ohne Authentifizierung zugegriffen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Auswirkung: Die Verarbeitung einer Datei kann zu einer Beschädigung des Speichers führen

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-6965

System

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Auswirkung: Eine Website kann möglicherweise ohne Einwilligung des Benutzers auf Sensorinformationen zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 296490

CVE-2025-43343: Ein anonymer Forscher

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Korrektheitsproblem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 296042

CVE-2025-43342: Ein anonymer Forscher

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu Fehlern beim Speicher führen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 293895

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

Eintrag hinzugefügt am 3. November 2025

WebKit

Auswirkung: Ein entfernter Angreifer ist möglicherweise in der Lage, geleakte DNS-Anfragen bei aktiviertem Privat-Relay einzusehen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell von grepular.com, Bob Lord

Eintrag hinzugefügt am 3. November 2025

WebKit Process Model

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial von REDTEAM.PL in Zusammenarbeit mit Trend Micro Zero Day Initiative, Ignacio Sanmillan (@ulexec)

Eintrag am 3. November 2025 aktualisiert

Zusätzliche Danksagung

Accessibility

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von C-DAC Thiruvananthapuram, Indien, Himanshu Bharti (@Xpl0itme) von Khatima für die Unterstützung bedanken.

Accounts

Wir möchten uns bei Lehan Dilusha Jayasingha, 要乐奈 für die Unterstützung bedanken.

App Protection

Wir möchten uns bei Jason Pan, einem anonymen Forscher und 〇氢匚, 文王 für die Unterstützung bedanken.

Eintrag hinzugefügt am 3. November 2025

AuthKit

Wir möchten uns bei Rosyna Keller von Totally Not Malicious Software für die Unterstützung bedanken.

Calendar

Wir möchten uns bei Keisuke Chinone (Iroiro) für die Unterstützung bedanken.

Camera

Wir möchten uns bei Descartes, Yusuf Kelany und einem anonymen Forscher für die Unterstützung bedanken.

CFNetwork

Wir möchten uns bei Christian Kohlschütter für die Unterstützung bedanken.

Control Center

Wir möchten uns bei Damitha Gunawardena für die Unterstützung bedanken.

Core Bluetooth

Wir möchten uns bei Leon Böttger für die Unterstützung bedanken.

Eintrag hinzugefügt am 3. November 2025

CoreMedia

Wir möchten uns bei Noah Gregory (wts.dev) für die Unterstützung bedanken.

darwinOS

Wir möchten uns bei Nathaniel Oh (@calysteon) für die Unterstützung bedanken.

Device Recovery

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Files

Wir möchten uns bei Tyler Montgomery für die Unterstützung bedanken.

Foundation

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Kandji für die Unterstützung bedanken.

iCloud Photo Library

Wir möchten uns bei Dawuge vom Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) und ChengQiang Jin (@白斩鸡) vom DBAppSecurity WeBin Lab für die Unterstützung bedanken.

ImageIO

Wir möchten uns bei DongJun Kim (@smlijun) und JongSeong Kim (@nevul37) von Enki WhiteHat für die Unterstützung bedanken.

IOGPUFamily

Wir möchten uns bei Wang Yu von Cyberserval für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Yepeng Pan, Prof. Dr. Christian Rossow für die Unterstützung bedanken.

libc

Wir möchten uns bei Nathaniel Oh (@calysteon) für die Unterstützung bedanken.

libpthread

Wir möchten uns bei Nathaniel Oh (@calysteon) für die Unterstützung bedanken.

libxml2

Wir möchten uns bei Nathaniel Oh (@calysteon) für die Unterstützung bedanken.

Lockdown Mode

Wir möchten uns bei Pyrophoria, Ethan Day und kado für die Unterstützung bedanken.

mDNSResponder

Wir möchten uns bei Barrett Lyon für die Unterstützung bedanken.

MediaRemote

Wir möchten uns bei Dora Orak für die Unterstützung bedanken.

MobileBackup

Wir möchten uns bei Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) für die Unterstützung bedanken.

Networking

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Kandji für die Unterstützung bedanken.

Notes

Wir möchten uns bei Atul R V für die Unterstützung bedanken.

Passwords

Wir möchten uns bei Christian Kohlschütter für die Unterstützung bedanken.

Phone

Wir möchten uns bei und Dalibor Milanovic für die Unterstützung bedanken.

Safari

Wir möchten uns bei Ameen Basha M K, Chi Yuan Chang von ZUSO ART und taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew für die Unterstützung bedanken.

Sandbox Profiles

Wir möchten uns bei Rosyna Keller von Totally Not Malicious Software für die Unterstützung bedanken.

Security

Wir möchten uns bei Jatayu Holznagel (@jholznagel), THANSEER KP für die Unterstützung bedanken.

Setup Assistant

Wir möchten uns bei Edwin R. für die Unterstützung bedanken.

Siri

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von Safran Mumbai India, Amandeep Singh Banga, Andrew Goldberg von der McCombs School of Business, University of Texas in Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) für die Unterstützung bedanken.

Siri Suggestions

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von C-DAC Thiruvananthapuram India für die Unterstützung bedanken.

Spotlight

Wir möchten uns bei Christian Scalese, Jake Derouin (jakederouin.com) für die Unterstützung bedanken.

Status Bar

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von Safran Mumbai India, Dalibor Milanovic, Jonathan Thach fü rdie Unterstützung bedanken.

Transparency

Wir möchten uns bei Wojciech Regula von SecuRing (wojciechregula.blog) und 要乐奈 für die Unterstützung bedanken.

User Management

Wir möchten uns bei Muhaned Almoghira für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Matthew Liang und Stanley Lee Linton für die Unterstützung bedanken.

Eintrag am 3. November 2025 aktualisiert

Wi-Fi

Wir möchten uns bei Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) von Kandji, Noah Gregory (wts.dev), Wojciech Regula von SecuRing (wojciechregula.blog) und einem anyonymen Forscher für die Unterstützung bedanken.

WidgetKit

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal, Indien, für die Unterstützung bedanken.

Eintrag hinzugefügt am 3. November 2025

Widgets

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von Safran Mumbai India für die Unterstützung bedanken.