מידע על תוכן האבטחה של iOS 26.1 ושל iPadOS 26.1

מסמך זה מתאר את תוכן האבטחה של iOS 26.1 ושל iPadOS 26.1.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

iOS 26.1 ו-iPadOS 26.1

הופץ ב-3 בנובמבר 2025

Accessibility

זמין עבור: iPhone 11 ואילך, iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שמיני ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43442: ‏Zhongcheng Li מצוות IES Red Team של ByteDance

Apple Account

השפעה: יישום זדוני עלול להיות מסוגל לצלם צילום מסך של מידע רגיש בתצוגות מוטבעות.

תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.

CVE-2025-43455‏: Ron Masas מ-BreakPoint.SH‏, Pinak Oza

Apple Neural Engine

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43447: חוקר אנונימי

CVE-2025-43462: חוקר אנונימי

Apple TV Remote‏

השפעה: אפליקציה זדונית עלולה להצליח לעקוב אחר משתמשים בין התקנות

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2025-43449: ‏Rosyna Keller מ-Totally Not Malicious Software

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2025-43379: ‏Gergely Kalman‏ (‎@gergely_kalman)

Assets

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2023-42848‏: JZ

Audio

השפעה: תוקף בעל גישה פיזית למכשיר לא נעול המשויך ל-Mac עלול להיות מסוגל להציג פרטי משתמש רגישים בעת התחברות למערכת

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-43423‏: Duy Trần‏ (‎@khanhduytran0)

Camera

השפעה: אפליקציה עלולה להצליח לקבל מידע על תצוגת המצלמה הנוכחית לפני שהיא מקבלת גישה למצלמה

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-43450: ‏Dennis Briner

CloudKit

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2025-43448: ‏Hikerell ‏(Loadshine Lab)

Contacts

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-43426: ‏Wojciech Regula מ-SecuRing ‏(wojciechregula.blog), ‏Kirin ‏(‎@Pwnrin) ו-LFY ‏(‎@secsys) מ-Fudan University

הרשומה עודכנה ב‑12 בדצמבר 2025

Control Center

השפעה: תוקף עלול להצליח להציג תוכן מוגבל ממסך הנעילה

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43350: ‏Lukaah Marlowe

CoreServices

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43436‏: Zhongcheng Li מ-IES Red Team של ByteDance

CoreText

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43445: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

FileProvider

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43498: ‏pattern-f‏ (‎@pattern_F_‎)

Find My

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית פרטיות טופלה באמצעות העברה של נתונים רגישים.

CVE-2025-43507‏: iisBuri

Installer

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43444‏: Zhongcheng Li מ-IES Red Team של ByteDance

Kernel

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43398‏: Cristian Dinca ‏(icmd.tech)

Kernel

השפעה: אפליקציה זדונית עלולה לגרום לשינויים בלתי צפויים בזיכרון שמשותף בין תהליכים

תיאור: בעיית השחתת זיכרון טופלה באמצעות בדיקה משופרת של מצב נעילה.

CVE-2025-43510‏: Apple

הרשומה נוספה ב‑12 בדצמבר 2025

Kernel

השפעה: ייתכן שיישום זדוני יוכל לגרום לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43520‏: Apple

הרשומה נוספה ב‑12 בדצמבר 2025

libxpc

השפעה: יישום בארגז חול עלול להצליח לצפות על חיבורי רשת ברחבי המערכת

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2025-43413‏: Dave G. ו-Alex Radocea מ-supernetworks.org

Mail

השפעה: ייתכן שתוקף יוכל לגרום למניעת שירות מתמשכת

תיאור: בעיה בניתוח כותרות דואר טופלה באמצעות בדיקות משופרות.

CVE-2025-43494: ‏Taavi Eomäe מ-Zone Media ‏(zone.ee)

הרשומה נוספה ב‑12 בדצמבר 2025

Mail Drafts

השפעה: תוכן מרחוק עלול להיטען גם כשההגדרה 'טעינת תמונות מרחוק' כבויה.

תיאור: הבעיה טופלה על ידי הוספת לוגיקה.

CVE-2025-43496‏: Romain Lebesle‏, Himanshu Bharti @Xpl0itme מ-Khatima

MallocStackLogging

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הייתה בעיה בטיפול במשתני סביבה. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2025-30456: ‏Gergely Kalman‏ (‎@gergely_kalman)

Managed Configuration

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיה של חשיפת מידע טופלה באמצעות בקרות פרטיוּת משופרות.

CVE-2025-43437: ‏Rosyna Keller מ-Totally Not Malicious Software

הרשומה נוספה ב‑12 בדצמבר 2025

Model I/O

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43386: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2025-43385: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2025-43384: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2025-43383: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

Multi-Touch

השפעה: התקן ממשק אנושי (HID) זדוני עשוי לגרום לתהליך לקרוס באופן בלתי צפוי

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2025-43424: ‏Google Threat Analysis Group

Notes

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-43389: ‏Kirin‏ (‎@Pwnrin)

On-device Intelligence

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2025-43439: ‏Zhongcheng Li מצוות IES Red Team של ByteDance

Photos

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2025-43391‏: Asaf Cohen

Safari

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-43493: ‏‎@RenwaX23

Safari

השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43503: ‏‎@RenwaX23

Safari

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2025-43502: חוקר אנונימי

Sandbox Profiles

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.

CVE-2025-43500‏: Stanislav Jelezoglo

Siri

השפעה: נעילת מכשיר עלולה להיכשל שוב ושוב

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43454: ‏Joshua Thomas

Spotlight

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2025-43418: ‏Dalibor Milanovic

הרשומה נוספה ב‑12 בדצמבר 2025

Status Bar

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-43460: ‏Isaiah Wan

Stolen Device Protection

זמין עבור: iPhone 11 ואילך

השפעה: תוקף עם גישה פיזית למכשיר עלול להשבית את המאפיין 'הגנה על מכשיר שנגנב'

תיאור: הבעיה טופלה על ידי הוספת לוגיקה.

CVE-2025-43422: ‏Will Caine

Text Input

השפעה: הצעות מקלדת עלולות להציג מידע רגיש במסך הנעילה

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2025-43452: ‏Thomas Salomon, ‏Sufiyan Gouri ‏(TU Darmstadt)‎, ‏Phil Scott ‏(‎@MrPeriPeri)‎ ו-Richard Hyunho Im ‏(‎@richeeta)‎, ‏Mark Bowers‏, Joey Hewitt, ‏Dylan Rollins, ‏Arthur Baudoin, חוקר אנונימי, Andr.Ess, ‏Mikael Kinnman

הרשומה עודכנה ב‑12 בדצמבר 2025

WebKit

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 276208‏

CVE-2025-43480‏: Aleksejs Popovs

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 296693‏

CVE-2025-43458‏: Phil Beauvoir

WebKit Bugzilla‏: 298196‏

CVE-2025-43430‏: Google Big Sleep

WebKit Bugzilla‏: 298628

CVE-2025-43427‏: Gary Kwong‏, rheza‏ (‎@ginggilBesel)

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 299843‏

CVE-2025-43443: חוקר אנונימי

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 298496

CVE-2025-43441: ‏rheza‏ (‎@ginggilBesel)

WebKit Bugzilla‏: 299391‏

CVE-2025-43435‏: Justin Cohen מ-Google

WebKit Bugzilla‏: 298851‏

CVE-2025-43425: חוקר אנונימי

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות

WebKit Bugzilla‏: 298126‏

CVE-2025-43440: ‏Nan Wang ‏(‎@eternalsakura13)

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 297662‏

CVE-2025-43438‏: ‏rheza ‏(‎@ginggilBesel), ‏shandikri ביחד עם Trend Micro Zero Day Initiative‏

WebKit Bugzilla‏: 298606‏

CVE-2025-43457: ‏Gary Kwong‏, Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

WebKit Bugzilla‏: 297958‏

CVE-2025-43434‏: Google Big Sleep

הרשומה עודכנה ב‑12 בדצמבר 2025

WebKit

השפעה: יישום עשוי לנטר הקשות ללא הרשאת המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: ‏300095

CVE-2025-43495: ‏Lehan Dilusha Jayasinghe

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 298093‏

CVE-2025-43433‏: Google Big Sleep

WebKit Bugzilla‏: 298194‏

CVE-2025-43431‏: Google Big Sleep

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 299313‏

CVE-2025-43432: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

WebKit Bugzilla‏: 298232‏

CVE-2025-43429‏: Google Big Sleep

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: מספר בעיות טופלו על-ידי השבתה של שימוש בקולט נתונים (sink) בהקצאת מערכים.

WebKit Bugzilla‏: 300718

CVE-2025-43421: ‏Nan Wang ‏(‎@eternalsakura13)

WebKit Canvas

השפעה: אתר אינטרנט עלול לחלץ מקורות מרובים של נתוני תמונות

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

WebKit Bugzilla‏: 297566‏

CVE-2025-43392‏: Tom Van Goethem

תודות נוספות

Accessibility

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Safran שבמומבאי, הודו, על הסיוע.

App Store

אנחנו מבקשים להודות ל-Bikesh Parajuli על הסיוע.

FaceTime

אנחנו מבקשים להודות ל-Un3xploitable על הסיוע.

Mail

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

MobileInstallation

אנחנו מבקשים להודות ל-Bubble Zhang על הסיוע.

Photos

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia)‎ מ-Safran Mumbai India ול-Yusuf Kelany על הסיוע.

Safari

אנחנו מבקשים להודות ל-Barath Stalin K ול-Syarif Muhammad Sajjad על הסיוע.

הרשומה עודכנה ב‑12 בדצמבר 2025

Safari Downloads

אנחנו מבקשים להודות ל-Saello Puza ול-Syarif Muhammad Sajjad על הסיוע.

הרשומה עודכנה ב‑12 בדצמבר 2025

Screenshots

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Security

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

Settings

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Safran שבמומבאי, הודו, על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-BanKai, ל-Benjamin Hornbeck, ל-Chi Yuan Chang מ-ZUSO ART ו-taikosoup, ל-Ryan May, ל-Andrew James Gonzalez ולחוקר אנונימי על הסיוע.

Status Bar

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia)‎ מ-Safran Mumbai India ול-Dalibor Milanovic על הסיוע.

Synapse

אנחנו מבקשים להודות ל-Jake Derouin (‏jakederouin.com) על הסיוע.

UIKit

אנחנו מבקשים להודות ל-Chi Yuan Chang מ-ZUSO ART ול-taikosoup על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Enis Maholli‏ (enismaholli.com)‏, Google Big Sleep על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 18 בדצמבר 2025