Informacije o sigurnosnom sadržaju sustava iOS 26 i iPadOS 26

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 26 i iPadOS 26.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 26 i iPadOS 26

Apple Neural Engine

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43344: anonimni istraživač

AppleMobileFileIntegrity

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43346: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Bluetooth

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43354: Csaba Fitzl (@theevilbit) (Kandji)

CVE-2025-43303: Csaba Fitzl (@theevilbit) (Kandji)

Call History

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2025-43357: Rosyna Keller (Totally Not Malicious Software), Guilherme Rambo (Best Buddy Apps) (rambo.codes)

CoreAudio

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43349: @zlluny i inicijativa Zero Day (Trend Micro)

CoreMedia

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2025-43372: 이동하 (Lee Dong Ha) (SSA Lab)

IOHIDFamily

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43302: Keisuke Hosoda

IOKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2025-31255: Csaba Fitzl (@theevilbit) (Kandji)

Kernel

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: utičnica UDP poslužitelja povezana s lokalnim sučeljem mogla bi se povezati sa svim sučeljima

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pratiti unose putem tipkovnice bez dopuštenja korisnika

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-43362: Philipp Baldauf

MobileStorageMounter

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43355: Dawuge (Shuffle Team)

Notes

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač koji ima fizički pristup nezaključanom uređaju mogao bi vidjeti sliku u zadnjoj pregledanoj zaključanoj bilješci

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-43203: Tom Brzezinski

Safari

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog preusmjeravanja URL adresa

Opis: problem je riješen tako što se bolje provjerava valjanost URL-a.

CVE-2025-31254: Evan Waelde

Sandbox

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43329: anonimni istraživač

Shortcuts

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: prečac bi mogao zaobići ograničenja za Sandbox

Opis: problem s dozvolom riješen je dodatnim ograničenjima memorije aplikacije.

CVE-2025-43358: 정답이 아닌 해답

Siri

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-6965

System

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: riješen je problem s provjerom valjanosti unosa

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

Text Input

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: upotrebom prijedloga tipkovnice može doći do prikazivanja osjetljivih podataka na zaključanom zaslonu

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2025-24133: Joey Hewitt, anonimni istraživač, Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) i Richard Hyunho Im (@richeeta), Mark Bowers, Dylan Rollins, Arthur Baudoin, Andr.Ess

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: web-mjesto može pristupiti podacima senzora bez pristanka korisnika

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-43356: Jaydev Ahire

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43272: Big Bear

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43343: anonimni istraživač

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s točnošću riješen je poboljšanim provjerama.

CVE-2025-43342: anonimni istraživač

WebKit Process Model

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43368: Pawel Wylecial (REDTEAM.PL) i inicijativa Zero Day (Trend Micro)

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (C-DAC Thiruvananthapuram Indija), Himanshuu Bhartiju @Xpl0itme (Khatima).

Accounts

Na pomoći zahvaljujemo Lehanu Dilushu Jayasinghu, 要乐奈.

AuthKit

Na pomoći zahvaljujemo Rosynu Kelleru (Totally Not Malicious Software).

Calendar

Na pomoći zahvaljujemo Keisukeu Chinoneu (Iroiro).

Camera

Na pomoći zahvaljujemo Descartesu, Yusufu Kelanyju i anonimnom istraživaču.

CFNetwork

Na pomoći zahvaljujemo Christianu Kohlschütteru.

CloudKit

Na pomoći zahvaljujemo Yinyiju Wuu (@_3ndy1) (Dawn Security Lab, JD.com, Inc).

Control Center

Na pomoći zahvaljujemo Damithu Gunawardenu.

CoreMedia

Na pomoći zahvaljujemo Noahi Gregoryju (wts.dev).

darwinOS

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

Device Recovery

Na pomoći zahvaljujemo anonimnom istraživaču.

Files

Na pomoći zahvaljujemo Tyleru Montgomeryju.

Foundation

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Kandji).

iCloud Photo Library

Na pomoći zahvaljujemo Dawugeu (Shuffle Team), Hikerellu (Loadshine Lab), Joshui Jonesu, YingQiju Shiju (@Mas0nShi) i ChengQiangu Jinu (@白斩鸡) (DBAppSecurity, laboratorij WeBin).

ImageIO

Na pomoći zahvaljujemo DongJunu Kimu (@smlijun) i JongSeongu Kimu (@nevul37) (Enki WhiteHat).

IOGPUFamily

Na pomoći zahvaljujemo Wangu Yuu (Cyberserval).

Kernel

Na pomoći zahvaljujemo Yepengu Panu i Prof. Dr. Christianu Rossowu.

libc

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

libpthread

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

libxml2

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

Lockdown Mode

Na pomoći zahvaljujemo Jonathanu Thachu, Pyrophoriji i Ethanu Dayu (kado).

mDNSResponder

Na pomoći zahvaljujemo Barrettu Lyonu.

MediaRemote

Na pomoći zahvaljujemo Dori Orak.

MobileBackup

Na pomoći zahvaljujemo tvrtki Dragon Fruit Security (Davis Dai i ORAC落云 & Frank Du).

Networking

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Kandji).

Notes

Na pomoći zahvaljujemo Atulu R V.

Passwords

Na pomoći zahvaljujemo Christianu Kohlschütteru.

Phone

Na pomoći zahvaljujemo Daliboru Milanoviću.

Safari

Na pomoći zahvaljujemo Ameenu Basha M K, Chi Yuanu Changu (ZUSO ART) i taikosoupu, Daliboru Milanovicu, HitmanAlharbiju (@HitmanF15), Jakeu Derouinu (jakederouin.com), Jaydevu Ahireu i Kennethu Chewu.

Sandbox Profiles

Na pomoći zahvaljujemo Rosynu Kelleru (Totally Not Malicious Software).

Security

Na pomoći zahvaljujemo Jatayuu Holznagelu (@jholznagel), THANSEER KP.

Setup Assistant

Na pomoći zahvaljujemo Edwinu R.

Siri

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India), Amandeepu Singhu Bangi, Andrewu Goldbergu (Poslovna škola McCombs, Sveučilište Teksas u Austinu) (linkedin.com/andrew-goldberg-/), Daliboru Milanovicu i M. Amanu Shahidu (@amansmughal).

Siri Suggestions

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (C-DAC, Thiruvananthapuram, Indija).

Spotlight

Na pomoći zahvaljujemo Christianu Scaleseu i Jakeu Derouinu (jakederouin.com).

Status Bar

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India), Daliboru Milanovicu i Jonathanu Thachu.

Transparency

Na pomoći zahvaljujemo Wojciechu Reguli (SecuRing) (wojciechregula.blog) i 要乐奈.

User Management

Na pomoći zahvaljujemo Muhanedu Almoghiru.

WebKit

Na pomoći zahvaljujemo Bobu Lordu, Matthewu Liangu, Mikeu Cardwellu (grepular.com) i Stanleyju Leej Lintonu.

Wi-Fi

Na pomoći zahvaljujemo Aobu Wangu (@M4x_1997), Csabi Fitzlu (@theevilbit) (Kandji), Noahi Gregoryju (wts.dev), Wojciechu Reguli (SecuRing) (wojciechregula.blog) i anonimnom istraživaču.

Widgets

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India).