O sigurnosnom sadržaju sustava iOS 26.1 i iPadOS 26.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 26.1 i iPadOS 26.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 26.1 i iPadOS 26.1

Objavljeno 03. studenog 2025.

Accessibility

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43442: Zhongcheng Li (IES Red Team, ByteDance)

Apple Account

Učinak: zlonamjerna aplikacija mogla bi napraviti snimku zaslona s osjetljivim podacima u ugrađenim prikazima

Opis: problem sa zaštitom privatnosti riješen je poboljšanim provjerama.

CVE-2025-43455: Ron Masas (BreakPoint.SH), Pinak Oza

Apple Neural Engine

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43447: anonimni istraživač

CVE-2025-43462: anonimni istraživač

Apple TV Remote

Učinak: zlonamjerna aplikacija mogla bi pratiti korisnike između instalacija

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-43449: Rosyna Keller (Totally Not Malicious Software)

AppleMobileFileIntegrity

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2025-43407: JZ

Audio

Učinak: napadač s fizičkim pristupom nezaključanom uređaju uparenom s Mac računalom mogao bi vidjeti osjetljive korisničke informacije u zapisniku sustava

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Učinak: aplikacija možda može doznati informacije o trenutačnom prikazu kamere prije nego što joj se dodijele prava pristupa kameri

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-43450: Dennis Briner

CloudKit

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2025-43448: Hikerell (Loadshine Lab)

Contacts

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43426: Wojciech Regula (SecuRing) (wojciechregula.blog), Kirin (@Pwnrin) i LFY (@secsys) (Fudan University)

Unos je ažuriran 12. prosinca 2025.

Control Center

Učinak: napadač bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43350: Lukaah Marlowe

CoreServices

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43436: Zhongcheng Li (IES Red Team, ByteDance)

CoreText

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43445: Hossein Lotfi (@hosselot) (Trend Micro Zero Day Initiative)

FileProvider

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem sa zaštitom privatnosti riješen je premještanjem osjetljivih podataka.

CVE-2025-43507: iisBuri

Installer

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43444: Zhongcheng Li (IES Red Team, ByteDance)

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Kernel

Učinak: zlonamjerna aplikacija mogla je izazvati neočekivane promjene u memoriji koja se dijeli između procesa

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom zaključanog stanja.

CVE-2025-43510: Apple

Unos je dodan 12. prosinca 2025.

Kernel

Učinak: zlonamjerna aplikacija mogla bi uzrokovati neočekivani pad sustava odnosno zapisivati u kernelsku memoriju.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43520: Apple

Unos je dodan 12. prosinca 2025.

libxpc

Učinak: aplikacija u memoriji za testiranje mogla bi pomatrati veze diljem sustava

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2025-43413: Dave G. i Alex Radocea (supernetworks.org)

Mail

Učinak: napadač bi mogao uzrokovati trajno odbijanje usluge

Opis: problem s raščlanjivanjem zaglavlja pošte riješen je poboljšanim provjerama.

CVE-2025-43494: Taavi Eomäe (Zone Media) (zone.ee)

Unos je dodan 12. prosinca 2025.

Mail Drafts

Učinak: udaljeni sadržaj mogao bi se učitati čak i kad je postavka „Učitaj udaljene slike” isključena

Opis: problem je riješen dodavanje dodatne logike.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme (Khatima)

MallocStackLogging

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je postojao u rukovanju varijablama okruženja. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Managed Configuration

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem s otkrivanjem informacija riješen je poboljšanjem značajki za zaštitu privatnosti.

CVE-2025-43437: Rosyna Keller (Totally Not Malicious Software)

Unos je dodan 12. prosinca 2025.

Model I/O

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43386: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2025-43385: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2025-43384: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2025-43383: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

Multi-Touch

Učinak: zlonamjerni HID uređaj mogao bi uzrokovati neočekivano prekidanje procesa

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2025-43424: Google Threat Analysis Group

Notes

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnošću riješen je uklanjanjem koda sa slabim točkama.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2025-43439: Zhongcheng Li (IES Red Team, ByteDance)

Photos

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.

CVE-2025-43391: Asaf Cohen

Safari

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-43493: @RenwaX23

Safari

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43503: @RenwaX23

Safari

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2025-43502: anonimni istraživač

Sandbox Profiles

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem korisničkim postavkama.

CVE-2025-43500: Stanislav Jelezoglo

Siri

Učinak: uređaj se možda opetovano neće moći zaključati

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-43454: Joshua Thomas

Spotlight

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2025-43418: Dalibor Milanovic

Unos je dodan 12. prosinca 2025.

Status Bar

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-43460: Isaiah Wan

Stolen Device Protection

Dostupno za: iPhone 11 i noviji

Učinak: napadač s fizičkim pristupom uređaju mogao bi onemogućiti funkciju Zaštita ukradenog uređaja

Opis: problem je riješen dodavanje dodatne logike.

CVE-2025-43422: Will Caine

Text Input

Učinak: upotrebom prijedloga tipkovnice može doći do prikazivanja osjetljivih podataka na zaključanom zaslonu

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2025-43452: Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) i Richard Hyunho Im (@richeeta), Mark Bowers, Joey Hewitt, Dylan Rollins, Arthur Baudoin, anonimni istraživač, Andr.Ess, Mikael Kinnman

Unos je ažuriran 12. prosinca 2025.

WebKit

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 276208

CVE-2025-43480: Aleksejs Popovs

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit Bugzilla: 298196

CVE-2025-43430: Google Big Sleep

WebKit Bugzilla: 298628

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 299843

CVE-2025-43443: anonimni istraživač

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen (Google)

WebKit Bugzilla: 298851

CVE-2025-43425: anonimni istraživač

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama

WebKit Bugzilla: 298126

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 297662

CVE-2025-43438: rheza (@ginggilBesel), shandikri u suradnji s inicijativom Zero Day (Trend Micro)

WebKit Bugzilla: 298606

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

Unos je ažuriran 12. prosinca 2025.

WebKit

Učinak: aplikacija bi mogla pratiti unose putem tipkovnice bez dopuštenja korisnika

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 299313

CVE-2025-43432: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: više problema riješeno je onemogućivanjem preusmjeravanja dodjela polja

WebKit Bugzilla: 300718

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Učinak: internetske stranice mogle su doznati sve izvore slikovnih podataka

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India).

App Store

Na pomoći zahvaljujemo Bikeshu Parajuli.

FaceTime

Na pomoći zahvaljujemo korisniku Un3xploitable.

Mail

Na pomoći zahvaljujemo anonimnom istraživaču.

MobileInstallation

Na pomoći zahvaljujemo Bubbleu Zhangu.

Photos

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Safran Mumbai India) i Yusufu Kelanyju.

Safari

Na pomoći zahvaljujemo Barathu Stalinu K i Syarifu Muhammadu Sajjadu.

Unos je ažuriran 12. prosinca 2025.

Safari Downloads

Na pomoći zahvaljujemo Saellu Puzi i Syarifu Muhammadu Sajjadu.

Unos je ažuriran 12. prosinca 2025.

Screenshots

Na pomoći zahvaljujemo anonimnom istraživaču.

Security

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

Settings

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India).

Shortcuts

Na pomoći zahvaljujemo korisniku BanKai, Benjaminu Hornbecku, Chiju Yuanu Changu (ZUSO ART i taikosoup), Ryanu Mayu, Andrewu Jamesu Gonzalezu i anonimnom istraživaču.

Status Bar

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Safran Mumbai India) i Daliboru Milanovicu.

Synapse

Zahvaljujemo na pomoći Jakeu Derouinu (jakederouin.com).

UIKit

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

WebKit

Na pomoći zahvaljujemo Enisu Maholliju (enismaholli.com) (Google Big Sleep).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 18. prosinca 2025.