Om sikkerhetsinnholdet i iOS 26.2 og iPadOS 26.2

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 26.2 og iPadOS 26.2.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iOS 26.2 og iPadOS 26.2

App Store

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan få tilgang til sensitive betalingstokener

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-46288: floeki, Zhongcheng Li fra IES Red Team hos ByteDance

AppleJPEG

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av en fil kan føre til skadet minne

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

BiometricKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro (3. generasjon) og nyere, 11-tommers iPad Pro (1. generasjon) og nyere

Virkning: Gjenoppretting fra en sikkerhetskopi kan forhindre at koden er påkrevd direkte etter registrering for Face ID

Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.

CVE-2025-46286: Andrei Simion

Calling Framework

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En angriper kan være i stand til å forfalske anrops-ID-en sin for FaceTime

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-46287: en anonym forsker, Riley Walz

curl

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Flere problemer i curl

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Passordfelt kan vises utilsiktet når en enhet styres eksternt via FaceTime

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-43542: Yiğit Ocak

Foundation

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan være i stand til å få tilgang til filer den ikke skal ha tilgang til gjennom API-en for stavekontroll

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelige data kan føre til uventet appavslutning

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret grensekontroll.

CVE-2025-43532: Andrew Calvano og Lucas Pinheiro fra Meta Product Security

Icons

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan være i stand til å identifisere hvilke andre apper en bruker har installert

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan være i stand til å få rotrettigheter

Beskrivelse: Et problem med heltallsoverflyt ble løst ved å ta i bruk 64-bits tidsstempler.

CVE-2025-46285: Kaitao Xie og Xiaolong Bai fra Alibaba Group

libarchive

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av en fil kan føre til skadet minne

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-5918

MediaExperience

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-43475: Rosyna Keller fra Totally Not Malicious Software

Messages

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med informasjonsdeling ble løst med forbedrede personvernkontroller.

CVE-2025-46276: Rosyna Keller fra Totally Not Malicious Software

Multi-Touch

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En skadelige HID-enhet kan forårsake uventet prosesstopp

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2025-43533: Google Threat Analysis Group

Photos

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Bilder i Skjulte bilder-albumet kan være tilgjengelige uten autentisering

Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.

CVE-2025-43428: en anonym forsker, Michael Schmutzer fra Technische Hochschule Ingolstadt

Screen Time

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan få tilgang til brukerens Safari-logg

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-43538: Iván Savransky

Telephony

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2025-46292: Rosyna Keller fra Totally Not Malicious Software

WebKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-43541: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

CVE-2025-46298: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative, Nan Wang (@eternalsakura13)

WebKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2025-43501: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2025-43531: Phil Pizlo fra Epic Games

WebKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet i et ekstremt sofistikert angrep mot spesifikke utsatte personer på versjoner av iOS før iOS 26. CVE-2025-14174 ble også utstedt som en følge av denne rapporten.

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet i et ekstremt sofistikert angrep mot spesifikke utsatte personer på versjoner av iOS før iOS 26. CVE-2025-43529 ble også utstedt som en følge av denne rapporten.

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2025-14174: Apple og Google Threat Analysis Group

WebKit

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan avsløre interne tilstander i appen

Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.

CVE-2025-46299: Google Big Sleep

WebKit Web Inspector

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43511: 이동하 (Lee Dong Ha fra BoB 14th)

Ytterligere anerkjennelser

AppleMobileFileIntegrity

Vi vil gjerne takke en anonym forsker for hjelpen.

Core Services

Vi vil gjerne takke Golden Helm Securities, Csaba Fitzl (@theevilbit) fra Iru og Gergely Kalman (@gergely_kalman) for hjelpen.

Safari

Vi vil gjerne takke Mochammad Nosa Shandy Prastyo for hjelpen.

Siri

Vi vil gjerne takke Richard Hyunho Im (@richeeta) fra Route Zero Security (routezero.security) for hjelpen.

WebKit

Vi vil gjerne takke Geva Nurgandi Syahputra (gevakun) og Google Big Sleep for hjelpen.