Informationen zum Sicherheitsinhalt von iOS 26.2 und iPadOS 26.2

In diesem Dokument wird der Sicherheitsinhalt von iOS 26.2 und iPadOS 26.2 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 26.2 und iPadOS 26.2

App Store

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Zahlungs-Token zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-46288: floeki, Zhongcheng Li vom IES Red Team von ByteDance

AppleJPEG

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer Datei kann zu einer Beschädigung des Speichers führen

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer kann möglicherweise seine Anrufer-ID für FaceTime fälschen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-46287: ein anonymer Forscher, Riley Walz

curl

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Mehrere Probleme in curl

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2024-7264

CVE-2025-9086

FaceTime

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Passwortfelder werden möglicherweise unabsichtlich offengelegt, wenn ein Gerät per Fernzugriff über FaceTime gesteuert wird.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-43542: Yiğit Ocak

Foundation

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann über die Rechtschreibprüfungs-API möglicherweise unerlaubt auf Dateien zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung bösartiger Daten kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43532: Andrew Calvano und Lucas Pinheiro von Meta Product Security

Icons

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise feststellen, welche anderen Apps ein Benutzer installiert hat.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch Annahme von 64-Bit-Zeitstempeln behoben.

CVE-2025-46285: Kaitao Xie und Xiaolong Bai von der Alibaba Group

libarchive

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer Datei kann zu einer Beschädigung des Speichers führen

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-5918

MediaExperience

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-43475: Rosyna Keller von Totally Not Malicious Software

Messages

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch verbesserte Datenschutzkontrollen behoben.

CVE-2025-46276: Rosyna Keller von Totally Not Malicious Software

Multi-Touch

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein schädliches HID-Gerät kann möglicherweise einen unerwarteten Prozessabsturz verursachen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-43533: Google Threat Analysis Group

Photos

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Fotos im ausgeblendeten Fotoalbum können möglicherweise ohne Authentifizierung angezeigt werden.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-43428: ein anonymer Forscher, Michael Schmutzer von der Technischen Hochschule Ingolstadt

Screen Time

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf den Safari-Verlauf eines Benutzers zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-43538: Iván Savransky

Telephony

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-46292: Rosyna Keller von Totally Not Malicious Software

WebKit

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-43541: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-43501: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2025-43531: Phil Pizlo von Epic Games

WebKit

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple hat Kenntnis von einer Meldung erlangt, dass dieses Problem durch einen äußerst ausgefeilten Angriff auf bestimmte Zielpersonen in iOS-Versionen vor iOS 26 ausgenutzt worden sein könnte. CVE-2025-14174 wurde als Reaktion auf diese Meldung ebenfalls veröffentlicht.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu Fehlern beim Speicher führen. Apple hat Kenntnis von einer Meldung erlangt, dass dieses Problem durch einen äußerst ausgefeilten Angriff auf bestimmte Zielpersonen in iOS-Versionen vor iOS 26 ausgenutzt worden sein könnte. CVE-2025-43529 wurde als Reaktion auf diese Meldung ebenfalls veröffentlicht.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-14174: Apple und Google Threat Analysis Group

WebKit Web Inspector

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-43511: 이동하 (Lee Dong Ha von BoB 14th)

Zusätzliche Danksagung

AppleMobileFileIntegrity

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

AppSandbox

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Core Services

Wir möchten uns bei Golden Helm Securities für die Unterstützung bedanken.

Safari

Wir möchten uns bei Mochammad Nosa Shandy Prastyo für die Unterstützung bedanken.

Siri

Wir möchten uns bei Richard Hyunho Im (@richeeta) bei Route Zero Security (routezero.security) für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Geva Nurgandi Syahputra (gevakun) für die Unterstützung bedanken.