O sigurnosnom sadržaju sustava iOS 26.2 i iPadOS 26.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 26.2 i iPadOS 26.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 26.2 i iPadOS 26.2.

App Store

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim podacima o tokenima za plaćanje

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-46288: floeki, Zhongcheng Li (IES Red Team, ByteDance)

AppleJPEG

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač bi mogao lažirati svoj FaceTime ID pozivatelja

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-46287: anonimni istraživač, Riley Walz

curl

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: veći broj problema u medijateci curl

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: polja lozinke mogu se slučajno otkriti prilikom daljinskog upravljanja uređajem putem aplikacije FaceTime

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-43542: Yiğit Ocak

Foundation

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla neprimjereno pristupati datotekama putem API-ja za provjeru pravopisa

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjernih podataka može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom granica.

CVE-2025-43532: Andrew Calvano i Lucas Pinheiro, Meta Product Security

Icons

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: prekoračenje cijelih brojeva riješeno je primjenom 64-bitnih vremenskih oznaka.

CVE-2025-46285: Kaitao Xie i Xiaolong Bai, Alibaba Group

libarchive

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-5918

MediaExperience

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43475: Rosyna Keller, Totally Not Malicious Software

Messages

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s otkrivanjem informacija riješen je poboljšanjem značajki za zaštitu privatnosti.

CVE-2025-46276: Rosyna Keller, Totally Not Malicious Software

Multi-Touch

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: zlonamjerni HID uređaj mogao bi uzrokovati neočekivano prekidanje procesa

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43533: Google Threat Analysis Group

Photos

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2025-43428: anonimni istraživač, Michael Schmutzer sa sveučilišta Technische Hochschule Ingolstadt

Screen Time

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla pristupiti korisnikovoj povijesti u pregledniku Safari

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43538: Iván Savransky

Telephony

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-46292: Rosyna Keller, Totally Not Malicious Software

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43541: Hossein Lotfi (@hosselot), Zero Day Initiative (Trend Micro)

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43501: Hossein Lotfi (@hosselot), Zero Day Initiative (Trend Micro)

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43531: Phil Pizlo, Epic Games

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem u kojem se navodi da je ovaj problem možda aktivno iskorišten u iznimno sofisticiranom napadu na određene pojedince na verzijama sustava iOS prije iOS 26. U odgovoru na to izvješće objavljen je i CVE-2025-14174.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije. Apple je upoznat s izvješćem u kojem se navodi da je ovaj problem možda aktivno iskorišten u iznimno sofisticiranom napadu na određene pojedince na verzijama sustava iOS prije iOS 26. U odgovoru na to izvješće objavljen je i CVE-2025-43529.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2025-14174: Apple i Google Threat Analysis Group

WebKit Web Inspector

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43511: 이동하 (Lee Dong Ha, BoB 14th)

Dodatna zahvala

AppleMobileFileIntegrity

Na pomoći zahvaljujemo anonimnom istraživaču.

AppSandbox

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

Core Services

Zahvaljujemo poduzeću Golden Helm Securities na pomoći.

Safari

Zahvaljujemo Mochammadu Nosi Shandyju Prastyou na pomoći.

Siri

Zahvaljujemo Richardu Hyunhou Imu (@richeeta) s kanala Route Zero Security (routezero.security) na pomoći.

WebKit

Zahvaljujemo Gevi Nurgandi Syahputra (gevakun) na pomoći.