Informazioni sui contenuti di sicurezza di iOS 26 e iPadOS 26

In questo documento vengono descritti i contenuti di sicurezza di iOS 26 e iPadOS 26.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 26 e iPadOS 26

Data di rilascio: 15 settembre 2025

Apple Neural Engine

Disponibile per: iPhone 11 e successivi, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (8a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43344: un ricercatore anonimo

AppleMobileFileIntegrity

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43346: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

Audio

Impatto: un'app dannosa potrebbe essere in grado di leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Voce aggiunta il 3 novembre 2025

Authentication Services

Impatto: i campi della password possono essere rivelati involontariamente

Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.

CVE-2025-43360: Nikita Sakalouski

Voce aggiunta il 3 novembre 2025

Bluetooth

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2025-43354: Csaba Fitzl (@theevilbit) di Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) di Kandji

Call History

Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2025-43357: Rosyna Keller di Totally Not Malicious Software, Guilherme Rambo di Best Buddy Apps (rambo.codes)

CloudKit

Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-43323: Yinyi Wu (@_3ndy1) di Dawn Security Lab di JD.com, Inc

Voce aggiunta il 3 novembre 2025

CoreAudio

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-43349: @zlluny in collaborazione con Trend Micro Zero Day Initiative

CoreMedia

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

CVE-2025-43372: 이동하 (Lee Dong Ha) di SSA Lab

ImageIO

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43338: 이동하 (Lee Dong Ha) di SSA Lab

Voce aggiunta il 3 novembre 2025

IOHIDFamily

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43302: Keisuke Hosoda

IOKit

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-31255: Csaba Fitzl (@theevilbit) di Kandji

Kernel

Impatto: un socket server UDP collegato a un'interfaccia locale potrebbe collegarsi a tutte le interfacce.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-43359: Viktor Oreshkin

Kernel

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di correttezza è stato risolto attraverso migliori controlli.

CVE-2025-43345: Mickey Jin (@patch1t)

Voce aggiunta il 3 novembre 2025

LaunchServices

Impatto: un'app può essere in grado di monitorare le pressioni di tasti senza autorizzazione da parte dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-43362: Philipp Baldauf

MetricKit

Impatto: un processo senza privilegi può essere in grado di arrestare un processo root

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-43365: Minghao Lin (@Y1nKoc) e Lyutoon (@Lyutoon_) e YingQi Shi (@Mas0n)

Voce aggiunta il 3 novembre 2025

MobileStorageMounter

Impatto: un'app potrebbe essere in grado di causare un'interruzione del servizio.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43355: Dawuge del Team Shuffle

Notes

Impatto: un utente malintenzionato con accesso fisico a un dispositivo sbloccato potrebbe riuscire a visualizzare un'immagine nell'ultima nota bloccata che è stata visualizzata.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2025-43203: Tom Brzezinski

Notifications

Impatto: un utente malintenzionato con accesso fisico a un dispositivo iOS potrebbe essere in grado di visualizzare i contenuti delle notifiche dalla Schermata di blocco

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-43309: Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India

Voce aggiunta il 3 novembre 2025

Safari

Impatto: l'elaborazione di contenuto web dannoso può causare un reindirizzamento imprevisto dell'URL.

Descrizione: questo problema è stato risolto con una migliore convalida dell'URL.

CVE-2025-31254: Evan Waelde

Sandbox

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43329: un ricercatore anonimo

Shortcuts

Impatto: un comando rapido può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni della sandbox aggiuntive.

CVE-2025-43358: 정답이 아닌 해답

Siri

Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Impatto: l'elaborazione di un file può danneggiare la memoria.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-6965

System

Impatto: è stato risolto un problema di convalida dell'input.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Impatto: un sito web può essere in grado di accedere alle informazioni del sensore senza il consenso dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 296490

CVE-2025-43343: un ricercatore anonimo

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di correttezza è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 296042

CVE-2025-43342: un ricercatore anonimo

WebKit

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 293895

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

Voce aggiunta il 3 novembre 2025

WebKit

Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare query DNS divulgate con la funzione Relay privato attivata.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell di grepular.com, Bob Lord

Voce aggiunta il 3 novembre 2025

WebKit Process Model

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial di REDTEAM.PL in collaborazione con Trend Micro Zero Day Initiative, Ignacio Sanmillan (@ulexec)

Voce aggiornata il 3 novembre 2025

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India, Himanshu Bharti (@Xpl0itme) di Khatima per l'assistenza.

Account

Ringraziamo Lehan Dilusha Jayasingha, 要乐奈 per l'assistenza.

App Protection

Ringraziamo Jason Pan, un ricercatore anonimo, 〇氢匚, 文王 per l'assistenza.

Voce aggiunta il 3 novembre 2025

AuthKit

Ringraziamo Rosyna Keller di Totally Not Malicious Software per l'assistenza.

Calendar

Ringraziamo Keisuke Chinone (Iroiro) per l'assistenza.

Camera

Ringraziamo Descartes, Yusuf Kelany e un ricercatore anonimo per l'assistenza.

CFNetwork

Ringraziamo Christian Kohlschütter per l'assistenza.

Control Center

Ringraziamo Damitha Gunawardena per l'assistenza.

Core Bluetooth

Ringraziamo Leon Böttger per l'assistenza.

Voce aggiunta il 3 novembre 2025

CoreMedia

Ringraziamo Noah Gregory (wts.dev) per l'assistenza.

darwinOS

Ringraziamo Nathaniel Oh (@calysteon) per l'assistenza.

Device Recovery

Ringraziamo un ricercatore anonimo per l'assistenza.

Files

Ringraziamo Tyler Montgomery per l'assistenza.

Foundation

Ringraziamo Csaba Fitzl (@theevilbit) di Kandji per l'assistenza.

iCloud Photo Library

Ringraziamo Dawuge di Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) e ChengQiang Jin (@白斩鸡) del WeBin lab di DBAppSecurity per l'assistenza.

ImageIO

Ringraziamo DongJun Kim (@smlijun) e JongSeong Kim (@nevul37) in Enki WhiteHat per l'assistenza.

IOGPUFamily

Ringraziamo Wang Yu di Cyberserval per l'assistenza.

Kernel

Ringraziamo Yepeng Pan, Prof. Dr. Christian Rossow per l'assistenza.

libc

Ringraziamo Nathaniel Oh (@calysteon) per l'assistenza.

libpthread

Ringraziamo Nathaniel Oh (@calysteon) per l'assistenza.

libxml2

Ringraziamo Nathaniel Oh (@calysteon) per l'assistenza.

Lockdown Mode

Ringraziamo Pyrophoria, Ethan Day e kado per l'assistenza.

mDNSResponder

Ringraziamo Barrett Lyon per l'assistenza.

MediaRemote

Ringraziamo Dora Orak per l'assistenza.

MobileBackup

Ringraziamo Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) per l'assistenza.

Networking

Ringraziamo Csaba Fitzl (@theevilbit) di Kandji per l'assistenza.

Notes

Ringraziamo Atul R V per l'assistenza.

Passwords

Ringraziamo Christian Kohlschütter per l'assistenza.

Phone

Ringraziamo Dalibor Milanovic per l'assistenza.

Safari

Ringraziamo Ameen Basha M K, Chi Yuan Chang di ZUSO ART e taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew per l'assistenza.

Sandbox Profiles

Ringraziamo Rosyna Keller di Totally Not Malicious Software per l'assistenza.

Security

Ringraziamo Jatayu Holznagel (@jholznagel), THANSEER KP per l'assistenza.

Setup Assistant

Ringraziamo Edwin R. per l'assistenza.

Siri

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India, Amandeep Singh Banga, Andrew Goldberg della The McCombs School of Business della University of Texas di Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) per l'assistenza.

Siri Suggestions

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal di C-DAC Thiruvananthapuram India per l'assistenza.

Spotlight

Ringraziamo Christian Scalese, Jake Derouin (jakederouin.com) per l'assistenza.

Status Bar

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India, Dalibor Milanovic, Jonathan Thach per l'assistenza.

Transparency

Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog), 要乐奈 per l'assistenza.

User Management

Ringraziamo Muhaned Almoghira per l'assistenza.

WebKit

Ringraziamo Matthew Liang, Stanley Lee Linton per l'assistenza.

Voce aggiornata il 3 novembre 2025

Wi-Fi

Ringraziamo Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) of Kandji, Noah Gregory (wts.dev), Wojciech Regula di SecuRing (wojciechregula.blog), un ricercatore anonimo per l'assistenza.

WidgetKit

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.

Voce aggiunta il 3 novembre 2025

Widgets

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 7 novembre 2025