Az iOS 26.1 és iPadOS 26.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 26.1 és iPadOS 26.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 26.1 és iPadOS 26.1

Kiadási dátum: 2025. november 3.

Accessibility

A következőkön érhető el: iPhone 11 és újabb modellek, 12,9 hüvelykes iPad Pro (3. generáció és újabb modellek), 11 hüvelykes iPad Pro (1. generáció és újabb modellek), 3. generációs iPad Air és újabb modellek, 8. generációs iPad és újabb modellek, 5. generációs iPad mini és újabb modellek

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43442: Zhongcheng Li (IES Red Team, ByteDance)

Apple Account

Érintett terület: Előfordulhat, hogy egy rosszindulatú alkalmazás képernyőfotókat készít a beágyazott nézetekben lévő bizalmas jellegű információkról

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2025-43455: Ron Masas (BreakPoint.SH, Pinak Oza)

Apple Neural Engine

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43447: anonim kutató

CVE-2025-43462: anonim kutató

Apple TV Remote

Érintett terület: A rosszindulatú appok nyomon tudták követni a felhasználókat telepítések között.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43449: Rosyna Keller (Totally Not Malicious Software)

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2025-43407: JZ

Audio

Érintett terület: Előfordulhat, hogy Mac számítógéppel társított, feloldott készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználók bizalmas információit a rendszernaplókban

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Érintett terület: Az alkalmazások még az előtt információt szerezhettek a kamera által aktuálisan látott dolgokról, hogy megkapták volna a kamerához a hozzáférést.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43450: Dennis Briner

CloudKit

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43448: Hikerell (Loadshine Lab)

Contacts

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43426: Wojciech Regula of SecuRing (wojciechregula.blog)

Control Center

Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43350: Lukaah Marlowe

CoreServices

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43436: Zhongcheng Li (IES Red Team, ByteDance)

CoreText

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43445: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiativ

FileProvider

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas adatok áthelyezésével megoldottuk az adatvédelmi problémát.

CVE-2025-43507: iisBuri

Installer

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43444: Zhongcheng Li (IES Red Team, ByteDance)

Kernel

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Érintett terület: A tesztkörnyezetben futó appok bizonyos esetekben meg tudták figyelni a rendszerszintű kapcsolatokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2025-43413: Dave G. és Alex Radocea (supernetworks.org)

Mail Drafts

Érintett terület: Akkor is be lehetett tölteni távoli tartalmakat, ha a „Távoli képek betöltése” beállítás ki volt kapcsolva

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme From Khatima

MallocStackLogging

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hiba lépett fel a környezeti változók elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43386: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43385: Michael DePlante (@izobashi, a Trend Micro Zero Day Initiative)

CVE-2025-43384: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43383: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Multi-Touch

Érintett terület: Egy rosszindulatú HID-eszköz váratlan folyamatösszeomlást okozhatott

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

VE-2025-43424: Google Threat Analysis Group

Notes

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el azt az adatvédelmi problémát.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2025-43439: Zhongcheng Li (IES Red Team, ByteDance)

Photos

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2025-43391: Asaf Cohen

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43493: @RenwaX23

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2025-43503: @RenwaX23

Safari

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2025-43502: anonim kutató

Sandbox Profiles

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2025-43500: Stanislav Jelezoglo

Siri

Hatás: Előfordulhat, hogy egy készüléket többé nem lehet zárolni

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43454: Joshua Thomas

Status Bar

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43460: Isaiah Wan

Stolen Device Protection

A következőhöz érhető el: iPhone 11 és újabb modellek

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező támadók le tudták tiltani a Lopott eszközökre vonatkozó védelmet.

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-43422: Will Caine

Text Input

Érintett terület: A billentyűzet javaslatai között bizalmas információk is megjelenhettek a zárolási képernyőn.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2025-43452: Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) és Richard Hyunho Im (@richeeta), Mark Bowers, Joey Hewitt, Dylan Rollins, Arthur Baudoin, egy anonim kutató, Andr.Ess

WebKit

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 276208

CVE-2025-43480: Aleksejs Popovs

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit Bugzilla: 298196

CVE-2025-43430: Google Big Sleep

WebKit Bugzilla: 298628

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

WebKit Bugzilla: 299843

CVE-2025-43443: anonim kutató

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen (Google)

WebKit Bugzilla: 298851

CVE-2025-43425: anonim kutató

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

WebKit Bugzilla: 298126

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri (a Trend Micro Zero Day Initiative közreműködőjeként)

WebKit Bugzilla: 298606

CVE-2025-24139: Gary Kwong, Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Érintett terület: Egy alkalmazás nyomon követhette a billentyűleütéseket a felhasználó engedélye nélkül.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

it Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 299313

CVE-2025-43432: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Több hibát elhárítottunk a tömbhozzárendelés letiltásával.

WebKit Bugzilla: 300718

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Érintett terület: Előfordulhat, hogy egy webhely ki tudott szivárogtatni képadatokat különböző eredetekből

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

App Store

Köszönjük Bikesh Parajuli segítségét.

FaceTime

Köszönjük Un3xploitable segítségét.

Mail

Köszönjük egy anonim kutató segítségét.

MobileInstallation

Köszönjük Bubble Zhang segítségét.

Photos

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) és Yusuf Kelany segítségét.

Safari

Köszönjük Barath Stalin K segítségét.

Safari Downloads

Köszönjük Saello Puza segítségét.

Screenshots

Köszönjük egy anonim kutató segítségét.

Security

Köszönjük Mickey Jin (@patch1t) segítségét.

Settings

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

Shortcuts

Köszönjük BanKai, Benjamin Hornbeck, Chi Yuan Chang (ZUSO ART), valamint taikosoup, Ryan May, Andrew James Gonzalez és egy anonim kutató segítségét.

Status Bar

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) és Dalibor Milanovic, segítségét.

Synapse

Köszönjük Jake Derouin (jakederouin.com) segítségét.

UIKit

Szeretnénk megköszönni Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.

WebKit

Köszönjük Enis Maholli (enismaholli.com, Google Big Sleep) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. november 07.