Obsah zabezpečenia v systémoch iOS 26 a iPadOS 26

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 26 a iPadOS 26.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 26 a iPadOS 26

Dátum vydania: 15. septembra 2025

Apple Neural Engine

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43344: anonymný výskumník

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43346: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Audio

Dosah: Apka so škodlivým kódom môže byť schopná čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Dátum pridania záznamu: 3. novembra 2025

Authentication Services

Dosah: Polia s heslom sa môžu neúmyselne odhaliť

Popis: Tento problém bol vyriešený vylepšením používateľského rozhrania.

CVE-2025-43360: Nikita Sakalouski

Dátum pridania záznamu: 3. novembra 2025

Bluetooth

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43354: Csaba Fitzl (@theevilbit) z tímu Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) z tímu Kandji

Call History

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Opis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2025-43357: Rosyna Keller z tímu Totally Not Malicious Software, Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)

CloudKit

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-43323: Yinyi Wu (@_3ndy1) z tímu Dawn Security Lab spoločnosti JD.com, Inc

Dátum pridania záznamu: 3. novembra 2025

CoreAudio

Dosah: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43349: @zlluny v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-43372: 이동하 (Lee Dong Ha) z projektu SSA Lab

ImageIO

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43338: 이동하 (Lee Dong Ha) z projektu SSA Lab

Dátum pridania záznamu: 3. novembra 2025

IOHIDFamily

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Opis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43302: Keisuke Hosoda

IOKit

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-31255: Csaba Fitzl (@theevilbit) z tímu Kandji

Kernel

Dopad: Soket servera UDP spojený s lokálnym rozhraním môže byť spojený so všetkými rozhraniami

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43359: Viktor Oreshkin

Kernel

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2025-43345: Mickey Jin (@patch1t)

Dátum pridania záznamu: 3. novembra 2025

LaunchServices

Dopad: Apka môže byť schopná monitorovať stlačené klávesy bez používateľského povolenia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-43362: Philipp Baldauf

MetricKit

Dosah: Proces bez oprávnení môže byť schopný ukončovať procesy používateľa root

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43365: Minghao Lin (@Y1nKoc), Lyutoon (@Lyutoon_) a YingQi Shi (@Mas0n)

Dátum pridania záznamu: 3. novembra 2025

MobileStorageMounter

Dosah: Apka môže byť schopná spôsobiť odopretie služby

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43355: Dawuge z tímu Shuffle Team

Notes

Dosah: Útočník s fyzickým prístupom k odomknutému zariadeniu môže byť schopný zobraziť obrázok v naposledy zobrazenej zamknutej poznámke

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-43203: Tom Brzezinski

Notifications

Dopad: Útočiaca osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná zobraziť obsah hlásení zo zamknutej obrazovky

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-43309: Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii

Dátum pridania záznamu: 3. novembra 2025

Safari

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému presmerovaniu adresy URL

Opis: Tento problém bol vyriešený vylepšením overovania adries URL.

CVE-2025-31254: Evan Waelde

Sandbox

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43329: anonymný výskumník

Shortcuts

Dopad: Skratka môže byť schopná obísť obmedzenia sandboxu

Opis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený dodatočnými obmedzeniami sandboxu.

CVE-2025-43358: 정답이 아닌 해답

Siri

Dosah: Prístup k tabom anonymného prezerania je možný bez overenia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Dosah: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-6965

System

Dosah: Riešil sa problém s overovaním vstupov

Opis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Dosah: Webová stránka môže byť schopná získať prístup k informáciám zo senzorov bez súhlasu používateľa

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 296490

CVE-2025-43343: anonymný výskumník

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 296042

CVE-2025-43342: anonymný výskumník

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 293895

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

Dátum pridania záznamu: 3. novembra 2025

WebKit

Dopad: Vzdialený útočník môže byť schopný zobraziť si uniknuté dopyty DNS pri zapnutej funkcii Súkromný prenos

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell z tímu grepular.com, Bob Lord

Dátum pridania záznamu: 3. novembra 2025

WebKit Process Model

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial z tímu REDTEAM.PL v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Ignacio Sanmillan (@ulexec)

Dátum aktualizácie záznamu: 3. novembra 2025

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z tímu C-DAC Thiruvananthapuram India a Himanshu Bharti @Xpl0itme z tímu Khatima.

Accounts

Poďakovanie za pomoc si zaslúžia Lehan Dilusha Jayasingha a 要乐奈.

App Protection

Poďakovanie za pomoc si zaslúžia Jason Pan, anonymný výskumník, 〇氢匚 a 文王.

Dátum pridania záznamu: 3. novembra 2025

AuthKit

Poďakovanie za pomoc si zaslúži Rosyna Keller z projektu Totally Not Malicious Software.

Calendar

Poďakovanie za pomoc si zaslúži Keisuke Chinone (Iroiro).

Camera

Poďakovanie za pomoc si zaslúžia Descartes, Yusuf Kelany a anonymný výskumník.

CFNetwork

Poďakovanie za pomoc si zaslúži Christian Kohlschütter.

Control Center

Poďakovanie za pomoc si zaslúži Damitha Gunawardena.

Core Bluetooth

Poďakovanie za pomoc si zaslúži Leon Böttger.

Dátum pridania záznamu: 3. novembra 2025

CoreMedia

Poďakovanie za pomoc si zaslúži Noah Gregory (wts.dev).

darwinOS

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Device Recovery

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Files

Poďakovanie za pomoc si zaslúži Tyler Montgomery.

Foundation

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

iCloud Photo Library

Poďakovanie za pomoc si zaslúžia Dawuge z tímu Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) a ChengQiang Jin (@白斩鸡) z laboratória WeBin spoločnosti DBAppSecurity.

ImageIO

Poďakovanie za pomoc si zaslúžia DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) zo spoločnosti Enki WhiteHat.

IOGPUFamily

Poďakovanie za pomoc si zaslúži Wang Yu (Cyberserval).

Kernel

Poďakovanie za pomoc si zaslúžia Yepeng Pan, Prof. Dr. Christian Rossow.

libc

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libpthread

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libxml2

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Lockdown Mode

Poďakovanie za pomoc si zaslúžia Pyrophoria a Ethan Day a kado.

mDNSResponder

Poďakovanie za pomoc si zaslúži Barrett Lyon.

MediaRemote

Poďakovanie za pomoc si zaslúži Dora Orak.

MobileBackup

Poďakovanie za pomoc si zaslúži Dragon Fruit Security (Davis Dai a ORAC落云 a Frank Du).

Networking

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

Notes

Poďakovanie za pomoc si zaslúži Atul R V.

Passwords

Poďakovanie za pomoc si zaslúži Christian Kohlschütter.

Phone

Poďakovanie za pomoc si zaslúži Dalibor Milanovic.

Safari

Poďakovanie za pomoc si zaslúžia Ameen Basha M K, Chi Yuan Chang z tímu ZUSO ART a taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire a Kenneth Chew.

Sandbox Profiles

Poďakovanie za pomoc si zaslúži Rosyna Keller z projektu Totally Not Malicious Software.

Security

Poďakovanie za pomoc si zaslúži Jatayu Holznagel (@jholznagel), THANSEER KP.

Setup Assistant

Poďakovanie za pomoc si zaslúži Edwin R.

Siri

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo Safranu, Bombaj, India, Amandeep Singh Banga, Andrew Goldberg z The McCombs School of Business, The University of Texas v Austine (linkedin.com/andrew-goldberg-/), Dalibor Milanovic a M. Aman Shahid (@amansmughal).

Siri Suggestions

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii.

Spotlight

Poďakovanie za pomoc si zaslúžia Christian Scalese a Jake Derouin (jakederouin.com).

Status Bar

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo Safranu, Bombaj, India, Dalibor Milanovic a Jonathan Thach.

Transparency

Poďakovanie za pomoc si zaslúžia Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog), 要乐奈.

User Management

Poďakovanie za pomoc si zaslúži Muhaned Almoghira.

WebKit

Poďakovanie za pomoc si zaslúžia Matthew Liang a Stanley Lee Linton.

Dátum aktualizácie záznamu: 3. novembra 2025

Wi-Fi

Poďakovanie za pomoc si zaslúžia Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) z tímu Kandji, Noah Gregory (wts.dev), Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog), anonymný výskumník.

WidgetKit

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópále v Indii.

Dátum pridania záznamu: 3. novembra 2025

Widgets

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) zo Safranu, Bombaj, India.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 7. novembra 2025