Az iOS 26 és az iPadOS 26 biztonsági változásjegyzéke

Ez a dokumentum az iOS 26 és az iPadOS 26 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 26 és iPadOS 26

Kiadási dátum: 2025. szeptember 15., hétfő

Apple Neural Engine

A következőkön érhető el: iPhone 11 és újabb modellek, 12,9 hüvelykes iPad Pro (3. generáció és újabb modellek), 11 hüvelykes iPad Pro (1. generáció és újabb modellek), 3. generációs iPad Air és újabb modellek, 8. generációs iPad és újabb modellek, 5. generációs iPad mini és újabb modellek

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43344: anonim kutató

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43346: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Bluetooth

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43354: Csaba Fitzl (@theevilbit, Kandji)

CVE-2025-43303: Csaba Fitzl (@theevilbit, Kandji)

Call History

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-43357: Rosyna Keller (Totally Not Malicious Software), Guilherme Rambo (Best Buddy Apps, rambo.codes)

CoreAudio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenetvalidálással kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-43349: @zlluny a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CoreMedia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-43372: 이동하 (Lee Dong Ha, SSA Lab)

IOHIDFamily

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-43302: Keisuke Hosoda

IOKit

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-31255: Csaba Fitzl (@theevilbit, Kandji)

Kernel

Érintett terület: Egy helyi interfészhez kötött UDP-szerversocketnél előfordulhat, hogy az összes interfészhez kapcsolódik

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Érintett terület: Egy alkalmazás nyomon követhette a billentyűleütéseket a felhasználó engedélye nélkül.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43362: Philipp Baldauf

MobileStorageMounter

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-43355: Dawuge (Shuffle Team)

Notes

Érintett terület: A feloldott eszközhöz fizikai hozzáféréssel rendelkező támadó bizonyos esetekben meg tudta tekinteni a legutóbb megtekintett zárolt jegyzet képét

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43203: Tom Brzezinski

Safari

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor az URL-ek váratlan átirányítására került sor.

Leírás: Az URL-ek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2025-31254: Evan Waelde

Sandbox

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43329: anonim kutató

Shortcuts

Érintett terület: A parancsikonok bizonyos esetekben meg tudták kerülni a sandbox korlátozásait.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2025-43358: 정답이 아닌 해답

Siri

Érintett terület: A privát böngészés lapjai hitelesítés nélkül is elérhetők.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-6965

System

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Érintett terület: A webhelyek adott esetben felhasználói jóváhagyás nélkül is hozzá tudtak férni az érzékelő adataihoz.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 296490

CVE-2025-43343: anonim kutató

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

WebKit Bugzilla: 296042

CVE-2025-43342: anonim kutató

WebKit Process Model

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial of REDTEAM.PL, a Trend Micro Zero Day Initiative közreműködőjeként

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India), Himanshu Bharti @Xpl0itme (Khatima) segítségét.

Accounts

Köszönjük Lehan Dilusha Jayasingha, 要乐奈 segítségét.

AuthKit

Köszönjük Rosyna Keller (Totally Not Malicious Software) segítségét.

Calendar

Köszönjük Keisuke Chinone (Iroiro) segítségét.

Camera

Köszönjük Descartes, Yusuf Kelany, egy anonim kutató segítségét.

CFNetwork

Köszönjük Christian Kohlschütter segítségét.

CloudKit

Köszönjük Yinyi Wu (@_3ndy1) (Dawn Security Lab of JD.com, Inc) segítségét.

Vezérlőközpont

Köszönjük Damitha Gunawardena segítségét.

CoreMedia

Köszönjük Noah Gregory (wts.dev) segítségét.

darwinOS

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Device Recovery

Köszönjük egy anonim kutató segítségét.

Files

Köszönjük Tyler Montgomery segítségét.

Foundation

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

iCloud Photo Library

Köszönjük Dawuge (Shuffle Team), Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) és ChengQiang Jin (@白斩鸡, DBAppSecurity WeBin lab) segítségét.

ImageIO

Köszönjük DongJun Kim (@smlijun) és JongSeong Kim (@nevul37) (Enki WhiteHat) segítségét.

IOGPUFamily

Köszönjük Wang Yu (Cyberserval) segítségét.

Kernel

Köszönjük Yepeng Pan, Prof. Dr. Christian Rossow segítségét.

libc

Köszönjük Nathaniel Oh (@calysteon) segítségét.

libpthread

Köszönjük Nathaniel Oh (@calysteon) segítségét.

libxml2

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Lockdown Mode

Köszönjük Pyrophoria, Ethan Day és kado segítségét.

mDNSResponder

Köszönjük Barrett Lyon segítségét.

MediaRemote

Köszönjük Dora Orak segítségét.

MobileBackup

Köszönjük a Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) segítségét.

Networking

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

Notes

Köszönjük Atul R V segítségét.

Passwords

Köszönjük Christian Kohlschütter segítségét.

Telefon

Köszönjük Dalibor Milanovic segítségét.

Safari

Köszönjük Ameen Basha M K, Chi Yuan Chang (ZUSO ART) és taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew segítségét.

Sandbox Profiles

Köszönjük Rosyna Keller (Totally Not Malicious Software) segítségét.

Biztonság

Köszönjük Jatayu Holznagel (@jholznagel), THANSEER KP segítségét.

Setup Assistant

Köszönjük Edwin R. segítségét.

Siri

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Amandeep Singh Banga, Andrew Goldberg (The McCombs School of Business, The University of Texas, Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) segítségét.

Siri Suggestions

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India) segítségét.

Spotlight

Köszönjük Christian Scalese, Jake Derouin (jakederouin.com) segítségét.

Status Bar

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Dalibor Milanovic, Jonathan Thach segítségét.

Transparency

Köszönjük Wojciech Regula (SecuRing) (wojciechregula.blog), 要乐奈 segítségét.

User Management

Köszönjük Muhaned Almoghira segítségét.

WebKit

Köszönjük Bob Lord, Matthew Liang, Mike Cardwell (grepular.com), Stanley Lee Linton segítségét.

Wi-Fi

Köszönjük Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit; Kandji), Noah Gregory (wts.dev), Wojciech Regula (SecuRing) (wojciechregula.blog), egy anonim kutató segítségét.

Widgets

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. október 10.