Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 26.2 и iPadOS 26.2

В этом документе описываются проблемы системы безопасности, устраняемые обновлениями iOS 26.2 и iPadOS 26.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iOS 26.2 и iPadOS 26.2

App Store

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может получать доступ к конфиденциальным токенам платежей.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46288: floeki, Zhongcheng Li из отдела IES Red компании ByteDance

AppleJPEG

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Злоумышленник может подделывать идентификатор абонента FaceTime.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-46287: анонимный исследователь, Riley Walz

curl

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обнаружен ряд проблем в curl.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. В полях паролей могут случайно отображаться пароли во время удаленного управления устройствами через FaceTime.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43542: Yiğit Ocak

Foundation

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может получать несанкционированный доступ к файлам через API проверки правописания.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносных данных может приводить к неожиданному прекращению работы приложения.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки границ.

CVE-2025-43532: Andrew Calvano и Lucas Pinheiro из отдела безопасности продуктов Meta

Icons

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема целочисленного переполнения устранена путем внедрения 64-разрядных меток времени.

CVE-2025-46285: Kaitao Xie и Xiaolong Bai из Alibaba Group

libarchive

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-5918

MediaExperience

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43475: Rosyna Keller из Totally Not Malicious Software

Messages

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема утечки информации устранена путем улучшения контроля конфиденциальности.

CVE-2025-46276: Rosyna Keller из Totally Not Malicious Software

Multi-Touch

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Вредоносное HID-устройство может вызвать неожиданное завершение процесса.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2025-43533: подразделение Threat Analysis Group компании Google

Photos

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Фотографии в альбоме «Скрытые» можно просмотреть без аутентификации.

Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.

CVE-2025-43428: анонимный исследователь, Michael Schmutzer из Ингольштадтского технического университета

Screen Time

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может получить доступ к истории Safari пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43538: Iván Savransky

Telephony

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-46292: Rosyna Keller из Totally Not Malicious Software

WebKit

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.

CVE-2025-43541: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2025-43501: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2025-43531: Phil Pizlo из Epic Games

WebKit

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-14174.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43529: подразделение Threat Analysis Group компании Google

WebKit

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-43529.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2025-14174: подразделения Threat Analysis Group компаний Apple и Google

WebKit Web Inspector

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43511: 이동하 (Lee Dong Ha из BoB 14th)

Дополнительные благодарности

AppleMobileFileIntegrity

Выражаем благодарность за помощь анонимному исследователю.

AppSandbox

Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).

Core Services

Выражаем благодарность за помощь Golden Helm Securities.

Safari

Выражаем благодарность за помощь Mochammad Nosa Shandy Prastyo.

Siri

Выражаем благодарность за помощь Richard Hyunho Im (@richeeta) из Route Zero Security (routezero.security).

WebKit

Выражаем благодарность за помощь Geva Nurgandi Syahputra (gevakun).