Az iOS 26 és az iPadOS 26 biztonsági változásjegyzéke

Ez a dokumentum az iOS 26 és az iPadOS 26 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 26 és iPadOS 26

Kiadási dátum: 2025. szeptember 15., hétfő

Apple Neural Engine

A következőkön érhető el: iPhone 11 és újabb modellek, 12,9 hüvelykes iPad Pro (3. generáció és újabb modellek), 11 hüvelykes iPad Pro (1. generáció és újabb modellek), 3. generációs iPad Air és újabb modellek, 8. generációs iPad és újabb modellek, 5. generációs iPad mini és újabb modellek

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43344: anonim kutató

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43346: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott alkalmazás olvasni tudta a kernelmemóriát

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Bejegyzés hozzáadva: 2025. november 3.

Authentication Services

Érintett terület: Nem szándékoltan láthatóvá válhatnak a jelszót tartalmazó mezők

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-43360: Nikita Sakalouski

Bejegyzés hozzáadva: 2025. november 3.

Bluetooth

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43354: Csaba Fitzl (@theevilbit, Kandji)

CVE-2025-43303: Csaba Fitzl (@theevilbit, Kandji)

Call History

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-43357: Rosyna Keller (Totally Not Malicious Software), Guilherme Rambo (Best Buddy Apps, rambo.codes)

CloudKit

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43323: Yinyi Wu (@_3ndy1, Dawn Security Lab, JD.com, Inc)

Bejegyzés hozzáadva: 2025. november 3.

CoreAudio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenetvalidálással kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-43349: @zlluny a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CoreMedia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-43372: 이동하 (Lee Dong Ha, SSA Lab)

ImageIO

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43338: 이동하 (Lee Dong Ha, SSA Lab)

Bejegyzés hozzáadva: 2025. november 3.

IOHIDFamily

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-43302: Keisuke Hosoda

IOKit

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-31255: Csaba Fitzl (@theevilbit, Kandji)

Kernel

Érintett terület: Egy helyi interfészhez kötött UDP-szerversocketnél előfordulhat, hogy az összes interfészhez kapcsolódik

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-43359: Viktor Oreshkin

Kernel

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

CVE-2025-43345: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2025. november 3.

LaunchServices

Érintett terület: Egy alkalmazás nyomon követhette a billentyűleütéseket a felhasználó engedélye nélkül.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43362: Philipp Baldauf

MetricKit

Érintett terület: Jogosulatlan folyamatok a root folyamatok leállását okozhatták

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2025-43365: Minghao Lin (@Y1nKoc) és Lyutoon (@Lyutoon_) és YingQi Shi (@Mas0n)

Bejegyzés hozzáadva: 2025. november 3.

MobileStorageMounter

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-43355: Dawuge (Shuffle Team)

Notes

Érintett terület: A feloldott eszközhöz fizikai hozzáféréssel rendelkező támadó bizonyos esetekben meg tudta tekinteni a legutóbb megtekintett zárolt jegyzet képét

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43203: Tom Brzezinski

Notifications

Érintett terület: Az iOS-készülékekhez fizikai hozzáféréssel rendelkező támadók esetenként meg tudták tekinteni az értesítések tartalmát a Zárolási képernyőről.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43309: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India)

Bejegyzés hozzáadva: 2025. november 3.

Safari

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor az URL-ek váratlan átirányítására került sor.

Leírás: Az URL-ek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2025-31254: Evan Waelde

Sandbox

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43329: anonim kutató

Shortcuts

Érintett terület: A parancsikonok bizonyos esetekben meg tudták kerülni a sandbox korlátozásait.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2025-43358: 정답이 아닌 해답

Siri

Érintett terület: A privát böngészés lapjai hitelesítés nélkül is elérhetők.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-6965

System

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Érintett terület: A webhelyek adott esetben felhasználói jóváhagyás nélkül is hozzá tudtak férni az érzékelő adataihoz.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 296490

CVE-2025-43343: anonim kutató

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

WebKit Bugzilla: 296042

CVE-2025-43342: anonim kutató

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 293895

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

Bejegyzés hozzáadva: 2025. november 3.

WebKit

Érintett terület: Egy távoli támadó megtekinthetett kiszivárgott DNS-lekérdezéseket, ha be volt kapcsolva a Privát átjátszó

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell (grepular.com, Bob Lord)

Bejegyzés hozzáadva: 2025. november 3.

WebKit Process Model

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial (REDTEAM.PL, a Trend Micro Zero Day Initiative közreműködőjeként), Ignacio Sanmillan (@ulexec)

Bejegyzés hozzáadva: 2025. november 3.

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India), Himanshu Bharti @Xpl0itme (Khatima) segítségét.

Accounts

Köszönjük Lehan Dilusha Jayasingha, 要乐奈 segítségét.

App Protection

Köszönjük Jason Pan, egy anonim kutató, 〇氢匚, 文王 segítségét.

Bejegyzés hozzáadva: 2025. november 3.

AuthKit

Köszönjük Rosyna Keller (Totally Not Malicious Software) segítségét.

Calendar

Köszönjük Keisuke Chinone (Iroiro) segítségét.

Camera

Köszönjük Descartes, Yusuf Kelany, egy anonim kutató segítségét.

CFNetwork

Köszönjük Christian Kohlschütter segítségét.

Control Center

Köszönjük Damitha Gunawardena segítségét.

Core Bluetooth

Köszönjük Leon Böttger segítségét.

Bejegyzés hozzáadva: 2025. november 3.

CoreMedia

Köszönjük Noah Gregory (wts.dev) segítségét.

darwinOS

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Device Recovery

Köszönjük egy anonim kutató segítségét.

Files

Köszönjük Tyler Montgomery segítségét.

Foundation

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

iCloud Photo Library

Köszönjük Dawuge (Shuffle Team), Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) és ChengQiang Jin (@白斩鸡, DBAppSecurity WeBin lab) segítségét.

ImageIO

Köszönjük DongJun Kim (@smlijun) és JongSeong Kim (@nevul37) (Enki WhiteHat) segítségét.

IOGPUFamily

Köszönjük Wang Yu (Cyberserval) segítségét.

Kernel

Köszönjük Yepeng Pan, Prof. Dr. Christian Rossow segítségét.

libc

Köszönjük Nathaniel Oh (@calysteon) segítségét.

libpthread

Köszönjük Nathaniel Oh (@calysteon) segítségét.

libxml2

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Lockdown Mode

Köszönjük Pyrophoria, Ethan Day és kado segítségét.

mDNSResponder

Köszönjük Barrett Lyon segítségét.

MediaRemote

Köszönjük Dora Orak segítségét.

MobileBackup

Köszönjük a Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) segítségét.

Networking

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

Notes

Köszönjük Atul R V segítségét.

Passwords

Köszönjük Christian Kohlschütter segítségét.

Phone

Köszönjük Dalibor Milanovic segítségét.

Safari

Köszönjük Ameen Basha M K, Chi Yuan Chang (ZUSO ART) és taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew segítségét.

Sandbox Profiles

Köszönjük Rosyna Keller (Totally Not Malicious Software) segítségét.

Security

Köszönjük Jatayu Holznagel (@jholznagel), THANSEER KP segítségét.

Setup Assistant

Köszönjük Edwin R. segítségét.

Siri

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Amandeep Singh Banga, Andrew Goldberg (The McCombs School of Business, The University of Texas, Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) segítségét.

Siri Suggestions

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India) segítségét.

Spotlight

Köszönjük Christian Scalese, Jake Derouin (jakederouin.com) segítségét.

Status Bar

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Dalibor Milanovic, Jonathan Thach segítségét.

Transparency

Köszönjük Wojciech Regula (SecuRing) (wojciechregula.blog), 要乐奈 segítségét.

User Management

Köszönjük Muhaned Almoghira segítségét.

WebKit

Köszönjük Matthew Liang, Stanley Lee Linton segítségét.

Bejegyzés frissítve: 2025. november 3.

Wi-Fi

Köszönjük Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit; Kandji), Noah Gregory (wts.dev), Wojciech Regula (SecuRing) (wojciechregula.blog), egy anonim kutató segítségét.

WidgetKit

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopal, India) segítségét.

Bejegyzés hozzáadva: 2025. november 3.

Widgets

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. november 07.