Over de beveiligingsinhoud van iOS 26 en iPadOS 26

In dit document wordt de beveiligingsinhoud van iOS 26 en iPadOS 26 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 26 en iPadOS 26

Releasedatum: 15 september 2025

Apple Neural Engine

Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43344: een anonieme onderzoeker

AppleMobileFileIntegrity

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43346: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Audio

Impact: een schadelijke app kan mogelijk het kernelgeheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Toegevoegd op 3 november 2025

Authentication Services

Impact: wachtwoordvelden kunnen onbedoeld zichtbaar zijn

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

CVE-2025-43360: Nikita Sakalouski

Toegevoegd op 3 november 2025

Bluetooth

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43354: Csaba Fitzl (@theevilbit) van Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) van Kandji

Call History

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2025-43357: Rosyna Keller van Totally Not Malicious Software, Guilherme Rambo van Best Buddy Apps (rambo.codes)

CloudKit

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-43323: Yinyi Wu (@_3ndy1) van Dawn Security Lab van JD.com, Inc

Toegevoegd op 3 november 2025

CoreAudio

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2025-43349: @zlluny samenwerkend met het Zero Day Initiative van Trend Micro.

CoreMedia

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43372: 이동하 (Lee Dong Ha) van het SSA Lab

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43338: 이동하 (Lee Dong Ha) van SSA Lab

Toegevoegd op 3 november 2025

IOHIDFamily

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-43302: Keisuke Hosoda

IOKit

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-31255: Csaba Fitzl (@theevilbit) van Kandji

Kernel

Impact: Een UDP-server socket die aan een lokale interface is gebonden, kan aan alle interfaces worden gebonden.

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-43359: Viktor Oreshkin

Kernel

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

CVE-2025-43345: Mickey Jin (@patch1t)

Toegevoegd op 3 november 2025

LaunchServices

Impact: een app kan mogelijk toetsaanslagen afkijken zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-43362: Philipp Baldauf

MetricKit

Impact: een onbevoorrecht proces kan mogelijk een rootproces beëindigen

Beschrijving: een denial-of-service-probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43365: Minghao Lin (@Y1nKoc) en Lyutoon (@Lyutoon_) en YingQi Shi (@Mas0n)

Toegevoegd op 3 november 2025

MobileStorageMounter

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43355: Dawuge van Shuffle Team

Notes

Impact: een aanvaller met fysieke toegang tot een ontgrendeld apparaat kan een afbeelding zien in de meest recent bekeken vergrendelde notitie

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43203: Tom Brzezinski

Notifications

Impact: een aanvaller met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot informatie uit meldingen op het toegangsscherm

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-43309: Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India

Toegevoegd op 3 november 2025

Safari

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte URL-omleiding

Beschrijving: dit probleem is verholpen door middel van verbeterde URL-validatie.

CVE-2025-31254: Evan Waelde

Sandbox

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43329: een anonieme onderzoeker

Shortcuts

Impact: een opdracht kan mogelijk de sandbox-beperkingen omzeilen

Beschrijving: een probleem met bevoegdheden is verholpen door aanvullende sandboxbeperkingen.

CVE-2025-43358: 정답이 아닌 해답

Siri

Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-6965

System

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Impact: een website heeft mogelijk toegang tot sensorinformatie zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 296490

CVE-2025-43343: een anonieme onderzoeker

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

WebKit Bugzilla: 296042

CVE-2025-43342: een anonieme onderzoeker

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 293895

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

Toegevoegd op 3 november 2025

WebKit

Impact: een externe aanvaller kan mogelijk gelekte DNS-queries bekijken met Privédoorgifte ingeschakeld

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell van grepular.com, Bob Lord

Toegevoegd op 3 november 2025

WebKit Process Model

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial van REDTEAM.PL in samenwerking met het Zero Day Initiative van Trend Micro, Ignacio Sanmillan (@ulexec)

Bijgewerkt op 3 november 2025

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India, Himanshu Bharti @Xpl0itme van Khatima voor de hulp.

Accounts

Met dank aan Lehan Dilusha Jayasingha, 要乐奈 voor de hulp.

App Protection

Met dank aan Jason Pan, een anonieme onderzoeker, 〇氢匚, 文王 voor de hulp.

Toegevoegd op 3 november 2025

AuthKit

Met dank aan Rosyna Keller van Totally Not Malicious Software voor de hulp.

Calendar

Met dank aan Keisuke Chinone (Iroiro) voor de hulp.

Camera

Met dank aan Descartes, Yusuf Kelany en een anonieme onderzoeker voor de hulp.

CFNetwork

Met dank aan Christian Kohlschütter voor de hulp.

Control Center

Met dank aan Damitha Gunawardena voor de hulp.

Core Bluetooth

Met dank aan Leon Böttger voor de hulp.

Toegevoegd op 3 november 2025

CoreMedia

Met dank aan Noah Gregory (wts.dev) en voor de hulp.

darwinOS

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

Device Recovery

Met dank aan een anonieme onderzoeker voor de hulp.

Files

Met dank aan Tyler Montgomery voor de hulp.

Foundation

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

iCloud Photo Library

Met dank aan Dawuge van Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) en ChengQiang Jin (@白斩鸡) van DBAppSecurity's WeBin Lab voor de hulp.

ImageIO

Met dank aan DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) van Enki WhiteHat voor de hulp.

IOGPUFamily

Met dank aan Wang Yu van Cyberserval voor de hulp.

Kernel

Met dank aan Yepeng Pan en Prof. Dr. Christian Rossow voor de hulp.

libc

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

libpthread

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

libxml2

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

Lockdown Mode

Met dank aan Pyrophoria, Ethan Day, en kado voor de hulp.

mDNSResponder

Met dank aan Barrett Lyon voor de hulp.

MediaRemote

We willen Dora Orak bedanken voor haar hulp.

MobileBackup

Met dank aan Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) voor de hulp.

Networking

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

Notes

Met dank aan Atul R V voor de hulp.

Passwords

Met dank aan Christian Kohlschütter voor de hulp.

Phone

Met dank aan Dalibor Milanovic voor de hulp.

Safari

Met dank aan Ameen Basha M K, Chi Yuan Chang van ZUSO ART en taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew voor de hulp.

Sandbox Profiles

Met dank aan Rosyna Keller van Totally Not Malicious Software voor de hulp.

Security

Met dank aan Jatayu Holznagel (@jholznagel), THANSEER KP voor de hulp.

Setup Assistant

Met dank aan Edwin R. voor de hulp.

Siri

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Amandeep Singh Banga, Andrew Goldberg van The McCombs School of Business, The University of Texas in Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) voor de hulp.

Siri Suggestions

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India voor de hulp.

Spotlight

Met dank aan Christian Scalese, Jake Derouin (jakederouin.com) voor de hulp.

Status Bar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Dalibor Milanovic, Jonathan Thach voor de hulp.

Transparency

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog) en 要乐奈 voor de hulp.

User Management

Met dank aan Muhaned Almoghira voor de hulp.

WebKit

Met dank aan Matthew Liang, Stanley Lee Linton voor de hulp.

Bijgewerkt op 3 november 2025

Wi-Fi

Met dank aan Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) van Kandji, Noah Gregory (wts.dev), Wojciech Regula van SecuRing (wojciechregula.blog) en een anonieme onderzoeker voor de hulp.

WidgetKit

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India voor de hulp.

Toegevoegd op 3 november 2025

Widgets

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 7 november 2025