Sobre o conteúdo de segurança do iOS 26.1 e do iPadOS 26.1

Este documento descreve o conteúdo de segurança do iOS 26.1 e do iPadOS 26.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

iOS 26.1 e iPadOS 26.1

Lançamento: 3 de novembro de 2025

Accessibility

Disponível para: iPhone 11 e posterior, iPad Pro de 12,9 polegadas de 3ª geração e posterior, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 8ª geração e posterior e iPad mini de 5ª geração e posterior

Impacto: um app poderia identificar quais outros apps tinham sido instalados por um usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-43442: Zhongcheng Li da IES Red Team da ByteDance

Apple Account

Impacto: um app malicioso pode conseguir fazer uma captura de tela de informações confidenciais em visualizações incorporadas

Descrição: um problema na privacidade foi resolvido por meio de melhorias nas verificações.

CVE-2025-43455: Ron Masas do BreakPoint.SH, Pinak Oza

Apple Neural Engine

Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43447: pesquisador anônimo

CVE-2025-43462: pesquisador anônimo

Apple TV Remote

Impacto: um app malicioso pode rastrear usuários entre instalações

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2025-43449: Rosyna Keller do Totally Not Malicious Software

AppleMobileFileIntegrity

Impacto: um app pode conseguir acessar dados protegidos do usuário

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de melhorias nos direitos.

CVE-2025-43407: JZ

Audio

Impacto: um invasor com acesso físico a um dispositivo desbloqueado emparelhado com um Mac pode conseguir visualizar informações confidenciais do usuário no registro do sistema

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Impacto: um app poderia obter informações sobre a visualização de câmera atual antes de ter recebido acesso à câmera

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2025-43450: Dennis Briner

CloudKit

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2025-43448: Hikerell (Loadshine Lab)

Contacts

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2025-43426: Wojciech Regula da SecuRing (wojciechregula.blog)

Control Center

Impacto: um invasor pode conseguir visualizar conteúdo restrito pela tela bloqueada

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-43350: Lukaah Marlowe

CoreServices

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-43436: Zhongcheng Li da IES Red Team da ByteDance

CoreText

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-43445: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

FileProvider

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Impacto: um app pode conseguir capturar a impressão digital do usuário

Descrição: um problema de privacidade foi resolvido com a transferência de dados confidenciais.

CVE-2025-43507: iisBuri

Installer

Impacto: um app pode conseguir capturar a impressão digital do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-43444: Zhongcheng Li da IES Red Team da ByteDance

Kernel

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Impacto: um app em área restrita pode observar conexões de rede em todo o sistema

Descrição: um problema de acesso foi resolvido por meio de outras restrições.

CVE-2025-43413: Dave G. e Alex Radocea da supernetworks.org

Mail Drafts

Impacto: o conteúdo remoto poderá ser carregado mesmo quando o ajuste "Carregar Imagens" estiver desativado

Descrição: o problema foi resolvido por meio da inclusão de lógica adicional.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme da Khatima

MallocStackLogging

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: havia um problema na análise de variáveis do ambiente. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

VE-2025-43386: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

VE-2025-43385: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

VE-2025-43384: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

VE-2025-43383: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

Multi-Touch

Impacto: um dispositivo HID malicioso pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2025-43424: Google Threat Analysis Group

Notes

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido por meio da remoção do código vulnerável.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Impacto: um app pode conseguir capturar a impressão digital do usuário

Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.

CVE-2025-43439: Zhongcheng Li da IES Red Team da ByteDance

Photos

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2025-43391: Asaf Cohen

Safari

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-43493: @RenwaX23

Safari

Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-43503: @RenwaX23

Safari

Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade

Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.

CVE-2025-43502: pesquisador anônimo

Sandbox Profiles

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento das preferências do usuário.

CVE-2025-43500: Stanislav Jelezoglo

Siri

Impacto: um dispositivo pode não bloquear persistentemente

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-43454: Joshua Thomas

Status Bar

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2025-43460: Isaiah Wan

Stolen Device Protection

Disponível para: iPhone 11 e posterior

Impacto: um invasor com acesso físico a um dispositivo pode desativar a Proteção de Dispositivo Roubado

Descrição: o problema foi resolvido por meio da inclusão de lógica adicional.

CVE-2025-43422: Will Caine

Text Input

Impacto: sugestões de teclado podem exibir informações confidenciais na tela de bloqueio

Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.

CVE-2025-43452: Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) e Richard Hyunho Im (@richeeta), Mark Bowers, Joey Hewitt, Dylan Rollins, Arthur Baudoin, um pesquisador anônimo, Andr.Ess

WebKit

Impacto: um site malicioso pode extrair dados de origem cruzada

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 276208

CVE-2025-43480: Aleksejs Popovs

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit Bugzilla: 298196

CVE-2025-43430: Google Big Sleep

WebKit Bugzilla: 298628

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 299843

CVE-2025-43443: pesquisador anônimo

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen do Google

WebKit Bugzilla: 298851

CVE-2025-43425: pesquisador anônimo

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: esse problema foi resolvido por meio de melhorias nas verificações

WebKit Bugzilla: 298126

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri em parceria com a Zero Day Initiative da Trend Micro

WebKit Bugzilla: 298606

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Impacto: um app pode conseguir monitorar pressionamentos de tecla sem a permissão do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

WebKit Bugzilla: 299313

CVE-2025-43432: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: vários problemas foram resolvidos após a desativação do afundamento da alocação de matriz.

WebKit Bugzilla: 300718

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Impacto: um site poderia extrair dados de imagem de origem cruzada

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Outros reconhecimentos

Accessibility

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India pela ajuda.

App Store

Gostaríamos de agradecer a Bikesh Parajuli pela ajuda.

FaceTime

Gostaríamos de agradecer a Un3xploitable pela ajuda.

Mail

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

MobileInstallation

Gostaríamos de agradecer a Bubble Zhang pela ajuda.

Photos

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India pela ajuda.

Safari

Gostaríamos de agradecer a Barath Stalin K pela ajuda.

Safari Downloads

Gostaríamos de agradecer a Saello Puza pela ajuda.

Screenshots

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Security

Gostaríamos de agradecer a Mickey Jin (@patch1t) pela ajuda.

Settings

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India pela ajuda.

Shortcuts

Gostaríamos de agradecer a BanKai, Benjamin Hornbeck, Chi Yuan Chang da ZUSO ART e taikosoup, Ryan May, Andrew James Gonzalez e um pesquisador anônimo pela ajuda.

Status Bar

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India, Dalibor Milanovic e pela ajuda.

Synapse

Gostaríamos de agradecer a Jake Derouin (jakederouin.com) pela ajuda.

UIKit

Gostaríamos de agradecer a Chi Yuan Chang of ZUSO ART e taikosoup pela ajuda.

WebKit

Gostaríamos de agradecer a Enis Maholli (enismaholli.com), Google Big Sleep pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 07 de novembro de 2025