Obsah zabezpečenia v systémoch iOS 26 a iPadOS 26

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 26 a iPadOS 26.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 26 a iPadOS 26

Dátum vydania: 15. septembra 2025

Apple Neural Engine

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43344: anonymný výskumník

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43346: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Bluetooth

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43354: Csaba Fitzl (@theevilbit) z tímu Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) z tímu Kandji

Call History

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Opis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2025-43357: Rosyna Keller z tímu Totally Not Malicious Software, Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)

CoreAudio

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43349: @zlluny v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-43372: 이동하 (Lee Dong Ha) z tímu SSA Lab

IOHIDFamily

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43302: Keisuke Hosoda

IOKit

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-31255: Csaba Fitzl (@theevilbit) z tímu Kandji

Kernel

Dosah: Soket UDP servera spojený s lokálnym rozhraním môže byť spojený so všetkými rozhraniami

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Dopad: Apka môže byť schopná monitorovať stlačené klávesy bez používateľského povolenia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-43362: Philipp Baldauf

MobileStorageMounter

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43355: Dawuge z tímu Shuffle Team

Notes

Dosah: Útočník s fyzickým prístupom k odomknutému zariadeniu môže byť schopný zobraziť obrázok v naposledy zobrazenej zamknutej poznámke

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-43203: Tom Brzezinski

Safari

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému presmerovaniu adresy URL

Popis: Tento problém bol vyriešený vylepšením overovania adries URL.

CVE-2025-31254: Evan Waelde

Sandbox

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43329: anonymný výskumník

Shortcuts

Dosah: Skratka môže byť schopná obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený dodatočnými obmedzeniami sandboxu.

CVE-2025-43358: 정답이 아닌 해답

Siri

Dopad: Prístup k tabom anonymného prezerania je možný bez overenia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Dopad: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-6965

System

Dopad: Riešil sa problém s overovaním vstupov

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

Text Input

Dosah: Návrhy klávesnice môžu na zamknutej obrazovke zobrazovať citlivé informácie

Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.

CVE-2025-24133: Joey Hewitt, anonymný výskumník, Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) a Richard Hyunho Im (@richeeta), Mark Bowers, Dylan Rollins, Arthur Baudoin, Andr.Ess

WebKit

Dopad: Webová stránka môže byť schopná získať prístup k informáciám zo senzorov bez súhlasu používateľa

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 296490

CVE-2025-43343: anonymný výskumník

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 296042

CVE-2025-43342: anonymný výskumník

WebKit Process Model

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial z tímu REDTEAM.PL v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z tímu C-DAC Thiruvananthapuram India a Himanshu Bharti @Xpl0itme z tímu Khatima.

Accounts

Poďakovanie za pomoc si zaslúžia Lehan Dilusha Jayasingha a 要乐奈.

AuthKit

Poďakovanie za pomoc si zaslúži Rosyna Keller z tímu Totally Not Malicious Software.

Calendar

Poďakovanie za pomoc si zaslúži Keisuke Chinone (Iroiro).

Camera

Poďakovanie za pomoc si zaslúžia Descartes, Yusuf Kelany a anonymný výskumník.

CFNetwork

Poďakovanie za pomoc si zaslúži Christian Kohlschütter.

CloudKit

Poďakovanie za pomoc si zaslúži Yinyi Wu (@_3ndy1) z tímu Dawn Security Lab spoločnosti JD.com, Inc.

Control Center

Poďakovanie za pomoc si zaslúži Damitha Gunawardena.

CoreMedia

Poďakovanie za pomoc si zaslúži Noah Gregory (wts.dev).

darwinOS

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Device Recovery

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Files

Poďakovanie za pomoc si zaslúži Tyler Montgomery.

Foundation

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

iCloud Photo Library

Poďakovanie za pomoc si zaslúžia Dawuge z tímu Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) a ChengQiang Jin (@白斩鸡) z laboratória WeBin spoločnosti DBAppSecurity.

ImageIO

Poďakovanie za pomoc si zaslúžia DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) z tímu Enki WhiteHat.

IOGPUFamily

Poďakovanie za pomoc si zaslúži Wang Yu (Cyberserval).

Kernel

Poďakovanie za pomoc si zaslúžia Yepeng Pan a Prof. Dr. Christian Rossow.

libc

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libpthread

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libxml2

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Lockdown Mode

Poďakovanie za pomoc si zaslúžia Jonathan Thach, Pyrophoria a Ethan Day, kado.

mDNSResponder

Poďakovanie za pomoc si zaslúži Barrett Lyon.

MediaRemote

Poďakovanie za pomoc si zaslúži Dora Orak.

MobileBackup

Poďakovanie za pomoc si zaslúži Dragon Fruit Security (Davis Dai a ORAC落云 a Frank Du).

Networking

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

Notes

Poďakovanie za pomoc si zaslúži Atul R V.

Passwords

Poďakovanie za pomoc si zaslúži Christian Kohlschütter.

Phone

Poďakovanie za pomoc si zaslúži Dalibor Milanovic.

Safari

Poďakovanie za pomoc si zaslúžia Ameen Basha M K, Chi Yuan Chang z tímu ZUSO ART a taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire a Kenneth Chew.

Sandbox Profiles

Poďakovanie za pomoc si zaslúži Rosyna Keller z tímu Totally Not Malicious Software.

Security

Poďakovanie za pomoc si zaslúži Jatayu Holznagel (@jholznagel), THANSEER KP.

Setup Assistant

Poďakovanie za pomoc si zaslúži Edwin R.

Siri

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo Safranu, Bombaj, India, Amandeep Singh Banga, Andrew Goldberg z The McCombs School of Business, The University of Texas v Austine (linkedin.com/andrew-goldberg-/), Dalibor Milanovic a M. Aman Shahid (@amansmughal).

Siri Suggestions

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii.

Spotlight

Poďakovanie za pomoc si zaslúžia Christian Scalese a Jake Derouin (jakederouin.com).

Status Bar

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo Safranu, Bombaj, India, Dalibor Milanovic a Jonathan Thach.

Transparency

Poďakovanie za pomoc si zaslúžia Wojciech Regula (wojciechregula.blog) zo spoločnosti SecuRing a 要乐奈.

User Management

Poďakovanie za pomoc si zaslúži Muhaned Almoghira.

WebKit

Poďakovanie za pomoc si zaslúžia Bob Lord, Matthew Liang, Mike Cardwell z tímu grepular.com a Stanley Lee Linton.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) z tímu Kandji, Noah Gregory (wts.dev), Wojciech Regula z tímu SecuRing (wojciechregula.blog) a anonymný výskumník.

Widgets

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) zo Safranu, Bombaj, India.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 19. septembra 2025