Az iOS 26 és az iPadOS 26 biztonsági változásjegyzéke

Ez a dokumentum az iOS 26 és az iPadOS 26 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 26 és iPadOS 26

Kiadási dátum: 2025. szeptember 15., hétfő

Apple Neural Engine

A következőkön érhető el: iPhone 11 és újabb modellek, 12,9 hüvelykes iPad Pro (3. generáció és újabb modellek), 11 hüvelykes iPad Pro (1. generáció és újabb modellek), 3. generációs iPad Air és újabb modellek, 8. generációs iPad és újabb modellek, 5. generációs iPad mini és újabb modellek

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43344: anonim kutató

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43346: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Bluetooth

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43354: Fitzl Csaba (@theevilbit, Kandji)

CVE-2025-43303: Fitzl Csaba (@theevilbit, Kandji)

Call History

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-43357: Rosyna Keller (Totally Not Malicious Software), Guilherme Rambo (Best Buddy Apps, rambo.codes)

CoreAudio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2025-43349: @zlluny a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CoreMedia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-43372: 이동하 (Lee Dong Ha), SSA Lab

IOHIDFamily

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-43302: Keisuke Hosoda

IOKit

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-31255: Fitzl Csaba (@theevilbit, Kandji)

Kernel

Érintett terület: Egy helyi interfészhez kötött UDP-szerversocketnél előfordulhat, hogy az összes interfészhez kapcsolódik

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Érintett terület: Egy alkalmazás nyomon követhette a billentyűleütéseket a felhasználó engedélye nélkül.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43362: Philipp Baldauf

MobileStorageMounter

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-43355: Dawuge, Shuffle Team

Notes

Érintett terület: A feloldott eszközhöz fizikai hozzáféréssel rendelkező támadó bizonyos esetekben meg tudta tekinteni a legutóbb megtekintett zárolt jegyzet képét

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43203: Tom Brzezinski

Safari

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak váratlan URL-átirányításhoz vezettek.

Leírás: Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.

CVE-2025-31254: Evan Waelde

Sandbox

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43329: anonim kutató

Shortcuts

Érintett terület: A parancsikonok bizonyos esetekben meg tudták kerülni a sandbox korlátozásait.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2025-43358: 정답이 아닌 해답

Siri

Érintett terület: A privát böngészés lapjai hitelesítés nélkül is elérhetők.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-6965

System

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

Text Input

Érintett terület: A billentyűzet javaslatai között bizalmas információk is megjelenhettek a zárolási képernyőn.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2025-24133: Joey Hewitt, egy anonim kutató, Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) és Richard Hyunho Im (@richeeta), Mark Bowers, Dylan Rollins, Arthur Baudoin, Andr.Ess

WebKit

Érintett terület: A webhelyek adott esetben felhasználói jóváhagyás nélkül is hozzá tudtak férni az érzékelő adataihoz.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 296490

CVE-2025-43343: anonim kutató

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

WebKit Bugzilla: 296042

CVE-2025-43342: anonim kutató

WebKit Process Model

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial (REDTEAM.PL) a Trend Micro Zero Day Initiative keretében

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India), Himanshu Bharti @Xpl0itme (Khatima) segítségét.

Accounts

Köszönjük Lehan Dilusha Jayasingha, 要乐奈 segítségét.

AuthKit

Köszönjük Rosyna Keller (Totally Not Malicious Software) segítségét.

Calendar

Köszönjük Keisuke Chinone (Iroiro) segítségét.

Camera

Köszönjük Descartes, Yusuf Kelany, egy anonim kutató segítségét.

CFNetwork

Köszönjük Christian Kohlschütter segítségét.

CloudKit

Köszönjük Yinyi Wu (@_3ndy1) (Dawn Security Lab of JD.com, Inc) segítségét.

Control Center

Köszönjük Damitha Gunawardena segítségét.

CoreMedia

Köszönjük Noah Gregory (wts.dev) segítségét.

darwinOS

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Device Recovery

Köszönjük egy anonim kutató segítségét.

Files

Köszönjük Tyler Montgomery segítségét.

Foundation

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

iCloud Photo Library

Köszönjük Dawuge (Shuffle Team), Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) és ChengQiang Jin (@白斩鸡, DBAppSecurity WeBin lab) segítségét.

ImageIO

Köszönjük DongJun Kim (@smlijun) és JongSeong Kim (@nevul37) (Enki WhiteHat) segítségét.

IOGPUFamily

Köszönjük Wang Yu (Cyberserval) segítségét.

Kernel

Köszönjük Yepeng Pan, Prof. Dr. Christian Rossow segítségét.

libc

Köszönjük Nathaniel Oh (@calysteon) segítségét.

libpthread

Köszönjük Nathaniel Oh (@calysteon) segítségét.

libxml2

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Lockdown Mode

Köszönjük Jonathan Thach, Pyrophoria és Ethan Day, kado segítségét.

mDNSResponder

Köszönjük Barrett Lyon segítségét.

MediaRemote

Köszönjük Dora Orak segítségét.

MobileBackup

Köszönjük a Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) segítségét.

Networking

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

Notes

Köszönjük Atul R V segítségét.

Passwords

Köszönjük Christian Kohlschütter segítségét.

Phone

Köszönjük Dalibor Milanovic segítségét.

Safari

Köszönjük Ameen Basha M K, Chi Yuan Chang (ZUSO ART) és taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew segítségét.

Sandbox Profiles

Köszönjük Rosyna Keller (Totally Not Malicious Software) segítségét.

Security

Köszönjük Jatayu Holznagel (@jholznagel), THANSEER KP segítségét.

Setup Assistant

Köszönjük Edwin R. segítségét.

Siri

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Amandeep Singh Banga, Andrew Goldberg (The McCombs School of Business, The University of Texas, Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) segítségét.

Siri Suggestions

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India) segítségét.

Spotlight

Köszönjük Christian Scalese, Jake Derouin (jakederouin.com) segítségét.

Status Bar

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Dalibor Milanovic, Jonathan Thach segítségét.

Transparency

Köszönjük Wojciech Regula (SecuRing) (wojciechregula.blog), 要乐奈 segítségét.

User Management

Köszönjük Muhaned Almoghira segítségét.

WebKit

Köszönjük Bob Lord, Matthew Liang, Mike Cardwell (grepular.com), Stanley Lee Linton segítségét.

Wi-Fi

Köszönjük Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit; Kandji), Noah Gregory (wts.dev), Wojciech Regula (SecuRing) (wojciechregula.blog), egy anonim kutató segítségét.

Widgets

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. szeptember 19.