Over de beveiligingsinhoud van iOS 26 en iPadOS 26

In dit document wordt de beveiligingsinhoud van iOS 26 en iPadOS 26 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 26 en iPadOS 26

Releasedatum: 15 september 2025

Apple Neural Engine

Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43344: een anonieme onderzoeker

AppleMobileFileIntegrity

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43346: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Bluetooth

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43354: Csaba Fitzl (@theevilbit) van Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) van Kandji

Call History

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2025-43357: Rosyna Keller van Totally Not Malicious Software, Guilherme Rambo van Best Buddy Apps (rambo.codes)

CoreAudio

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2025-43349: @zlluny in samenwerking met Trend Micro Zero Day Initiative

CoreMedia

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43372: 이동하 (Lee Dong Ha) van SSA Lab

IOHIDFamily

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-43302: Keisuke Hosoda

IOKit

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-31255: Csaba Fitzl (@theevilbit) van Kandji

Kernel

Impact: een UDP-serversocket die is gekoppeld aan een lokale interface, kan worden gekoppeld aan alle interfaces

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Impact: een app kan mogelijk toetsaanslagen afkijken zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-43362: Philipp Baldauf

MobileStorageMounter

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43355: Dawuge van Shuffle Team

Notes

Impact: een aanvaller met fysieke toegang tot een ontgrendeld apparaat kan een afbeelding zien in de meest recent bekeken vergrendelde notitie

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43203: Tom Brzezinski

Safari

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte URL-omleiding

Beschrijving: dit probleem is verholpen door middel van verbeterde URL-validatie.

CVE-2025-31254: Evan Waelde

Sandbox

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43329: een anonieme onderzoeker

Shortcuts

Impact: een opdracht kan sandboxbeperkingen omzeilen

Beschrijving: een probleem met bevoegdheden is verholpen door aanvullende sandboxbeperkingen.

CVE-2025-43358: 정답이 아닌 해답

Siri

Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-6965

System

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

Text Input

Impact: toetsenbordsuggesties kunnen gevoelige informatie weergeven op het toegangsscherm

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2025-24133: Joey Hewitt, een anonieme onderzoeker, Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) en Richard Hyunho Im (@richeeta), Mark Bowers, Dylan Rollins, Arthur Baudoin, Andr.Ess

WebKit

Impact: een website heeft mogelijk toegang tot sensorinformatie zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 296490

CVE-2025-43343: een anonieme onderzoeker

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

WebKit Bugzilla: 296042

CVE-2025-43342: een anonieme onderzoeker

WebKit Process Model

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial van REDTEAM.PL in samenwerking met het Trend Micro Zero Day Initiative

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India, Himanshu Bharti @Xpl0itme van Khatima voor de hulp.

Accounts

Met dank aan Lehan Dilusha Jayasingha, 要乐奈 voor de hulp.

AuthKit

Met dank aan Rosyna Keller van Totally Not Malicious Software voor de hulp.

Calendar

Met dank aan Keisuke Chinone (Iroiro) voor de hulp.

Camera

Met dank aan Descartes, Yusuf Kelany en een anonieme onderzoeker voor de hulp.

CFNetwork

Met dank aan Christian Kohlschütter voor de hulp.

CloudKit

Met dank aan Yinyi Wu (@_3ndy1) van Dawn Security Lab of JD.com, Inc voor de hulp.

Control Center

Met dank aan Damitha Gunawardena voor de hulp.

CoreMedia

Met dank aan Noah Gregory (wts.dev) voor de hulp.

darwinOS

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

Device Recovery

Met dank aan een anonieme onderzoeker voor de hulp.

Files

Met dank aan Tyler Montgomery voor de hulp.

Foundation

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

iCloud Photo Library

Met dank aan Dawuge van Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) en ChengQiang Jin (@白斩鸡) van DBAppSecurity's WeBin Lab voor de hulp.

ImageIO

Met dank aan DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat voor de hulp.

IOGPUFamily

Met dank aan Wang Yu van Cyberserval voor de hulp.

Kernel

Met dank aan Yepeng Pan, Prof. Dr. Christian Rossow voor de hulp.

libc

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

libpthread

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

libxml2

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

Lockdown Mode

Met dank aan Jonathan Thach, Pyrophoria en Ethan Day, kado voor de hulp.

mDNSResponder

Met dank aan Barrett Lyon voor de hulp.

MediaRemote

Met dank aan Dora Orak voor de hulp.

MobileBackup

Met dank aan Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) voor de hulp.

Networking

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

Notes

Met dank aan Atul R V voor de hulp.

Passwords

Met dank aan Christian Kohlschütter voor de hulp.

Phone

Met dank aan Dalibor Milanovic voor de hulp.

Safari

Met dank aan Ameen Basha M K, Chi Yuan Chang van ZUSO ART and taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew voor de hulp.

Sandbox Profiles

Met dank aan Rosyna Keller van Totally Not Malicious Software voor de hulp.

Security

Met dank aan Jatayu Holznagel (@jholznagel), THANSEER KP voor de hulp.

Setup Assistant

Met dank aan Edwin R. voor de hulp.

Siri

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Amandeep Singh Banga, Andrew Goldberg van The McCombs School of Business, The University of Texas in Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) voor de hulp.

Siri Suggestions

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India voor de hulp.

Spotlight

Met dank aan Christian Scalese, Jake Derouin (jakederouin.com) voor de hulp.

Status Bar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Dalibor Milanovic, Jonathan Thach voor de hulp.

Transparency

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog), 要乐奈 voor de hulp.

User Management

Met dank aan Muhaned Almoghira voor de hulp.

WebKit

Met dank aan Bob Lord, Matthew Liang, Mike Cardwell van grepular.com, Stanley Lee Linton voor de hulp.

Wi-Fi

Met dank aan Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) van Kandji, Noah Gregory (wts.dev), Wojciech Regula van SecuRing (wojciechregula.blog) en een anonieme onderzoeker voor de hulp.

Widgets

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: september 19, 2025