Despre conținutul de securitate din iOS 26.1 și iPadOS 26.1

Acest document descrie conținutul de securitate din iOS 26.1 și iPadOS 26.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 26.1 și iPadOS 26.1

Data lansării: 3 noiembrie 2025

Accessibility

Disponibilitate pentru: iPhone 11 și modele ulterioare, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 8-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate identifica ce alte aplicații a instalat utilizatorul

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43442: Zhongcheng Li din cadrul IES Red Team de la ByteDance

Apple Account

Impact: o aplicație creată cu rea intenție poate face capturi de ecran ale informațiilor confidențiale din vizualizările încorporate

Descriere: o problemă de confidențialitate a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43455: Ron Masas de la BreakPoint.SH, Pinak Oza

Apple Neural Engine

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43447: un cercetător anonim

CVE-2025-43462: un cercetător anonim

Apple TV Remote

Impact: o aplicație rău intenționată poate urmări utilizatori între instalări

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2025-43449: Rosyna Keller de la Totally Not Malicious Software

AppleMobileFileIntegrity

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.

CVE-2025-43407: JZ

Audio

Impact: un atacator care are acces fizic la un dispozitiv deblocat asociat cu un computer Mac poate vizualiza informații sensibile ale utilizatorului în jurnalele de sistem

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Impact: o aplicație poate afla informații despre vizualizarea curentă a camerei foto înainte de a i se acorda acces la camera foto

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43450: Dennis Briner

CloudKit

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2025-43448: Hikerell (Loadshine Lab)

Contacts

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-43426: Wojciech Regula de la SecuRing (wojciechregula.blog)

Control Center

Impact: Un atacator ar putea vizualiza conținut restricționat din ecranul de blocare

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43350: Lukaah Marlowe

CoreServices

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43436: Zhongcheng Li din cadrul IES Red Team de la ByteDance

CoreText

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-43445: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

FileProvider

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Impact: este posibil ca o aplicație să poată amprenta utilizatorul

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile.

CVE-2025-43507: iisBuri

Installer

Impact: este posibil ca o aplicație să poată amprenta utilizatorul

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43444: Zhongcheng Li din cadrul IES Red Team de la ByteDance

Kernel

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Impact: o aplicație din sandbox poate observa conexiuni de rețea la nivelul întregului sistem

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2025-43413: Dave G. și Alex Radocea de la supernetworks.org

Mail Drafts

Impact: conținut extern poate fi încărcat chiar și atunci când configurarea „Încărcare imagini externe” este oprită

Descriere: problema a fost rezolvată prin adăugarea unei logici suplimentare.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme din Khatima

MallocStackLogging

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a existat o problemă la tratarea variabilelor de mediu. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43386: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Multi-Touch

Impact: un dispozitiv HID rău intenționat poate provoca o blocare neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2025-43424: Google Threat Analysis Group

Notes

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea codului vulnerabil.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Impact: este posibil ca o aplicație să poată amprenta utilizatorul

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.

CVE-2025-43439: Zhongcheng Li din cadrul IES Red Team de la ByteDance

Photos

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2025-43391: Asaf Cohen

Safari

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-43493: @RenwaX23

Safari

Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2025-43503: @RenwaX23

Safari

Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.

CVE-2025-43502: un cercetător anonim

Sandbox Profiles

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a preferințelor utilizatorului.

CVE-2025-43500: Stanislav Jelezoglo

Siri

Impact: este posibil ca un dispozitiv să nu reușească să se blocheze în mod repetat

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-43454: Joshua Thomas

Status Bar

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43460: Isaiah Wan

Stolen Device Protection

Disponibilitate pentru: iPhone 11 și modele ulterioare

Impact: un atacator cu acces fizic la un dispozitiv ar putea dezactiva funcția Protecție dispozitiv furat

Descriere: problema a fost rezolvată prin adăugarea unei logici suplimentare.

CVE-2025-43422: Will Caine

Text Input

Impact: sugestiile tastaturii pot afișa informații sensibile pe ecranul de blocare

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2025-43452: Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) și Richard Hyunho Im (@richeeta), Mark Bowers, Joey Hewitt, Dylan Rollins, Arthur Baudoin, un cercetător anonim, Andr.Ess

WebKit

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 276208

CVE-2025-43480: Aleksejs Popovs

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit Bugzilla: 298196

CVE-2025-43430: Google Big Sleep

WebKit Bugzilla: 298628

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

WebKit Bugzilla: 299843

CVE-2025-43443: un cercetător anonim

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen de la Google

WebKit Bugzilla: 298851

CVE-2025-43425: un cercetător anonim

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite

WebKit Bugzilla: 298126

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri în colaborare cu Trend Micro Zero Day Initiative

WebKit Bugzilla: 298606

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Impact: o aplicație poate monitoriza apăsările de taste fără permisiunea utilizatorului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 299313

CVE-2025-43432: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: au fost rezolvate mai multe probleme prin dezactivarea optimizării de tip „array allocation sinking”.

WebKit Bugzilla: 300718

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Impact: un site web poate exfiltra date de imagini între origini diferite

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Alte mențiuni

Accessibility

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Safran Mumbai India pentru asistența acordată.

App Store

Dorim să îi mulțumim lui Bikesh Parajuli pentru asistența acordată.

FaceTime

Dorim să îi mulțumim lui Un3xploitable pentru asistența acordată.

Mail

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

MobileInstallation

Dorim să îi mulțumim lui Bubble Zhang pentru asistența acordată.

Photos

Dorim să mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Safran Mumbai India, Yusuf Kelany pentru asistența acordată.

Safari

Dorim să îi mulțumim lui Barath Stalin K pentru asistența acordată.

Safari Downloads

Dorim să îi mulțumim lui Saello Puza pentru asistența acordată.

Screenshots

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Security

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Settings

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Safran Mumbai India pentru asistența acordată.

Shortcuts

Dorim să mulțumim lui BanKai, Benjamin Hornbeck, Chi Yuan Chang de la ZUSO ART și taikosoup, Ryan May, Andrew James Gonzalez și unui cercetător anonim pentru asistența acordată.

Status Bar

Dorim să mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Safran Mumbai India, Dalibor Milanovic pentru asistența acordată.

Synapse

Dorim să-i mulțumim lui Jake Derouin (jakederouin.com) pentru asistența acordată.

UIKit

Dorim să îi mulțumim lui Chi Yuan Chang de la ZUSO ART și lui taikosoup pentru asistență.

WebKit

Dorim să mulțumim lui Enis Maholli (enismaholli.com), Google Big Sleep pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 07 noiembrie 2025