Over de beveiligingsinhoud van iOS 26.1 en iPadOS 26.1

In dit document wordt de beveiligingsinhoud van iOS 26.1 en iPadOS 26.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 26.1 en iPadOS 26.1

Gepubliceerd op 3 november 2025

Accessibility

Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43442: Zhongcheng Li van IES Red Team van ByteDance

Apple Account

Impact: een schadelijke app kan mogelijk een schermafbeelding maken van gevoelige informatie in geïntegreerde weergaven

Beschrijving: er is een privacyprobleem verholpen door verbeterde controles.

CVE-2025-43455: Ron Masas van BreakPoint.SH, Pinak Oza

Apple Neural Engine

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43447: een anonieme onderzoeker

CVE-2025-43462: een anonieme onderzoeker

Apple TV Remote

Impact: een kwaadaardige app kan gebruikers tussen installaties volgen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43449: Rosyna Keller van Totally Not Malicious Software

AppleMobileFileIntegrity

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2025-43407: JZ

Audio

Impact: een aanvaller met fysieke toegang tot een ontgrendeld apparaat dat is gekoppeld met een Mac, kan gevoelige gebruikersinformatie zien in de systeemregistratie

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Impact: een app kan, voordat deze toegang tot de camera krijgt, mogelijk informatie krijgen over het actuele camerabeeld

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-43450: Dennis Briner

CloudKit

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2025-43448: Hikerell (Loadshine Lab)

Contacts

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43426: Wojciech Regula van SecuRing (wojciechregula.blog)

Control Center

Impact: een aanvaller kan mogelijk beperkte inhoud bekijken via het vergrendelingsscherm

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43350: Lukaah Marlowe

CoreServices

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43436: Zhongcheng Li van IES Red Team van ByteDance

CoreText

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-43445: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

FileProvider

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: er is een privacyprobleem verholpen door gevoelige gegevens te verplaatsen.

CVE-2025-43507: iisBuri

Installer

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43444: Zhongcheng Li van IES Red Team van ByteDance

Kernel

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Impact: een app in een sandbox kan mogelijk systeembrede netwerkverbindingen observeren

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2025-43413: Dave G. en Alex Radocea van supernetworks.org

Mail Drafts

Impact: Content op afstand kan worden geladen, zelfs als de instelling 'Afbeeldingen op afstand laden' is uitgeschakeld

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme van Khatima

MallocStackLogging

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: er was een probleem bij de verwerking van omgevingsvariabelen. Dit probleem is verholpen door een verbeterde validatie.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43386: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Multi-Touch

Impact: een schadelijk HID-apparaat kan een onverwachte procescrash veroorzaken

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2025-43424: Google Threat Analysis Group

Notes

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2025-43439: Zhongcheng Li van IES Red Team van ByteDance

Photos

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2025-43391: Asaf Cohen

Safari

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-43493: @RenwaX23

Safari

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2025-43503: @RenwaX23

Safari

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2025-43502: een anonieme onderzoeker

Sandbox Profiles

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: er is een privacyprobleem verholpen door verbeterde verwerking van gebruikersvoorkeuren.

CVE-2025-43500: Stanislav Jelezoglo

Siri

Impact: het vergrendelen van een apparaat blijft mogelijk steeds mislukken

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-43454: Joshua Thomas

Status Bar

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-43460: Isaiah Wan

Stolen Device Protection

Beschikbaar voor: iPhone 11 en nieuwer

Impact: een aanvaller met fysieke toegang tot een apparaat kan mogelijk de Beveiliging gestolen apparaat uitschakelen

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2025-43422: Will Caine

Text Input

Impact: toetsenbordsuggesties kunnen gevoelige informatie weergeven op het toegangsscherm

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2025-43452: Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) & Richard Hyunho Im (@richeeta), Mark Bowers, Joey Hewitt, Dylan Rollins, Arthur Baudoin, een anonieme onderzoeker, Andr.Ess

WebKit

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 276208

CVE-2025-43480: Aleksejs Popovs

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit Bugzilla: 298196

CVE-2025-43430: Google Big Sleep

WebKit Bugzilla: 298628

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 299843

CVE-2025-43443: een anonieme onderzoeker

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen van Google

WebKit Bugzilla: 298851

CVE-2025-43425: een anonieme onderzoeker

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterde controles

WebKit Bugzilla: 298126

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri in samenwerking met Trend Micro Zero Day Initiative

WebKit Bugzilla: 298606

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Impact: een app kan mogelijk toetsaanslagen afkijken zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 299313

CVE-2025-43432: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: meerdere problemen zijn verholpen door sinking van arraytoewijzing uit te schakelen.

WebKit Bugzilla: 300718

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Impact: een website kan afbeeldingsgegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India voor de hulp.

App Store

Met dank aan Bikesh Parajuli voor de hulp.

FaceTime

Met dank aan Un3xploitable voor de hulp.

Mail

Met dank aan een anonieme onderzoeker voor de hulp.

MobileInstallation

Met dank aan Bubble Zhang voor de hulp.

Photos

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Yusuf Kelany voor de hulp.

Safari

Met dank aan Barath Stalin K voor de hulp.

Safari Downloads

Met dank aan Saello Puza voor de hulp.

Screenshots

Met dank aan een anonieme onderzoeker voor de hulp.

Security

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Settings

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India voor de hulp.

Shortcuts

Met dank aan BanKai, Benjamin Hornbeck, Chi Yuan Chang van ZUSO ART en taikosoup, Ryan May, Andrew James Gonzalez en een anonieme onderzoeker voor de hulp.

Status Bar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Dalibor Milanovic, voor de hulp.

Synapse

Met dank aan Jake Derouin (jakederouin.com) voor de hulp.

UIKit

Met dank aan Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

WebKit

Met dank aan Enis Maholli (enismaholli.com), Google Big Sleep voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 7 november 2025