Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 26.1 и iPadOS 26.1

В этом документе описываются проблемы системы безопасности, устраняемые обновлениями iOS 26.1 и iPadOS 26.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iOS 26.1 и iPadOS 26.1.

Дата выпуска: 03 ноября 2025 г.

Accessibility

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43442: Zhongcheng Li из отдела IES Red компании ByteDance

Apple Account

Воздействие. Вредоносное приложение может сделать снимок экрана с конфиденциальной информацией во встроенных представлениях.

Описание. Проблема с конфиденциальностью устранена путем улучшения проверок.

CVE-2025-43455: Ron Masas из BreakPoint.SH, Pinak Oza

Apple Neural Engine

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43447: анонимный исследователь

CVE-2025-43462: анонимный исследователь

Apple TV Remote

Воздействие. Вредоносное приложение может отслеживать пользователей между установками.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-43449: Rosyna Keller из Totally Not Malicious Software

AppleMobileFileIntegrity

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена с помощью улучшенных разрешений.

CVE-2025-43407: JZ

Audio

Воздействие. Злоумышленник с физическим доступом к разблокированному устройству, сопряженному с Mac, может получить доступ к конфиденциальной информации пользователя через системные журналы.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Воздействие. Программа может получить информацию о текущем видоискателе камеры до получения доступа к камере.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43450: Dennis Briner

CloudKit

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43448: Hikerell (Loadshine Lab)

Contacts

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43426: Wojciech Regula из SecuRing (wojciechregula.blog)

Control Center

Воздействие. Злоумышленник может просматривать содержимое с ограниченным доступом на экране блокировки.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43350: Lukaah Marlowe

CoreServices

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43436: Zhongcheng Li из отдела IES Red компании ByteDance

CoreText

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43445: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

FileProvider

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема конфиденциальности устранена путем переноса важных данных.

CVE-2025-43507: iisBuri

Installer

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43444: Zhongcheng Li из отдела IES Red компании ByteDance

Kernel

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Воздействие. Приложение в изолированной среде может просматривать общесистемные сетевые подключения.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2025-43413: Dave G. и Alex Radocea из supernetworks.org

Mail Drafts

Воздействие. Контент из удаленных источников может загружаться, даже когда отключен параметр «Загружать внешние изображения».

Описание. Проблема устранена путем добавления дополнительной логики.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme из Khatima

MallocStackLogging

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. При обработке переменных среды возникала ошибка. Проблема устранена путем улучшения процедуры проверки.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43386: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Multi-Touch

Воздействие. Вредоносное HID-устройство может вызвать неожиданное завершение процесса.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2025-43424: Подразделение Threat Analysis Group компании Google

Notes

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности устранена путем удаления уязвимого кода.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2025-43439: Zhongcheng Li из отдела IES Red компании ByteDance

Photos

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности устранена путем улучшенной обработки временных файлов.

CVE-2025-43391: Asaf Cohen

Safari

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-43493: @RenwaX23

Safari

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-43503: @RenwaX23

Safari

Воздействие. Приложение может обходить определенные настройки конфиденциальности.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2025-43502: анонимный исследователь

Профили Sandbox

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности была решена путем улучшенной обработки пользовательских настроек.

CVE-2025-43500: Stanislav Jelezoglo

Siri

Воздействие. Устройство может постоянно не блокироваться.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43454: Joshua Thomas

Status Bar

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43460: Isaiah Wan

Функция «Защита украденного устройства»

Доступно для iPhone 11 и более поздних моделей

Воздействие. Злоумышленник с физическим доступом к устройству может отключить функцию «Защита украденного устройства».

Описание. Проблема устранена путем добавления дополнительной логики.

CVE-2025-43422: Will Caine

Text Input

Воздействие. На экране блокировки в предложениях клавиатуры может отображаться конфиденциальная информация.

Описание. Эта проблема устранена путем ограничения предлагаемых вариантов на заблокированном устройстве.

CVE-2025-43452: Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) & Richard Hyunho Im (@richeeta), Mark Bowers, Joey Hewitt, Dylan Rollins, Arthur Baudoin, анонимный исследователь, Andr.Ess

WebKit

Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.

Описание. Проблема устранена путем улучшенной проверки.

WebKit Bugzilla: 276208

CVE-2025-43480: Aleksejs Popovs

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit Bugzilla: 298196

CVE-2025-43430: Big Sleep от Google

WebKit Bugzilla: 298628

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверок.

WebKit Bugzilla: 299843

CVE-2025-43443: анонимный исследователь

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen из Google

WebKit Bugzilla: 298851

CVE-2025-43425: анонимный исследователь

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверок

WebKit Bugzilla: 298126

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit Bugzilla: 298606

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Big Sleep от Google

WebKit

Воздействие. Приложение может получить доступ к отслеживанию нажатий клавиш без разрешения пользователя.

Описание. Проблема устранена путем улучшенной проверки.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 298093

CVE-2025-43433: Big Sleep от Google

WebKit Bugzilla: 298194

CVE-2025-43431: Big Sleep от Google

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

WebKit Bugzilla: 299313

CVE-2025-43432: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

WebKit Bugzilla: 298232

CVE-2025-43429: Big Sleep от Google

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Несколько проблем были устранены путем отключения оптимизации выделения массивов.

WebKit Bugzilla: 300718

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Воздействие. Веб-сайт может передавать данные изображений между разными источниками.

Описание. Проблема устранена путем улучшенной обработки кэшей.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Дополнительные благодарности

Accessibility

Выражаем благодарность за помощь пользователю Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия).

App Store

Выражаем благодарность за помощь пользователю Bikesh Parajuli.

FaceTime

Выражаем благодарность за помощь пользователю Un3xploitable.

Mail

Выражаем благодарность за помощь анонимному исследователю.

MobileInstallation

Выражаем благодарность за помощь пользователю Bubble Zhang.

Photos

Выражаем благодарность за помощь пользователям Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия) и Yusuf Kelany.

Safari

Выражаем благодарность за помощь пользователю Barath Stalin K.

Safari Downloads

Выражаем благодарность за помощь пользователю Saello Puza.

Screenshots

Выражаем благодарность за помощь анонимному исследователю.

Безопасность

Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).

Settings

Выражаем благодарность за помощь пользователю Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия).

Shortcuts

Выражаем благодарность за помощь пользователям BanKai, Benjamin Hornbeck, Chi Yuan Chang из ZUSO ART и taikosoup, Ryan May, Andrew James Gonzalez и анонимному исследователю.

Status Bar

Выражаем благодарность за помощь пользователям Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия), Dalibor Milanovic.

Synapse

Выражаем благодарность за помощь пользователю Jake Derouin (jakederouin.com).

UIKit

Выражаем благодарность за помощь пользователю Chi Yuan Chang из ZUSO ART и taikosoup.

WebKit

Выражаем благодарность за помощь пользователю Enis Maholli (enismaholli.com), инструмент Big Sleep от Google.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 07 ноября 2025 г.