Om säkerhetsinnehållet i iOS 26 och iPadOS 26

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 26 och iPadOS 26.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 26 och iPadOS 26

Apple Neural Engine

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43344: en anonym forskare

AppleMobileFileIntegrity

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan få åtkomst till känsliga användardata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43346: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

Bluetooth

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2025-43354: Csaba Fitzl (@theevilbit) på Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) på Kandji

Call History

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2025-43357: Rosyna Keller på Totally Not Malicious Software, Guilherme Rambo på Best Buddy Apps (rambo.codes)

CoreAudio

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig videofil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-43349: @zlluny i samarbete med Trend Micro Zero Day Initiative

CoreMedia

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2025-43372: 이동하 (Lee Dong Ha) på SSA Lab

IOHIDFamily

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43302: Keisuke Hosoda

IOKit

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2025-31255: Csaba Fitzl (@theevilbit) på Kandji

Kernel

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En UDP-serversocket bunden till ett lokalt gränssnitt kan kanske bli bundet till alla gränssnitt

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan övervaka tangenttryckningar utan användarens tillåtelse

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-43362: Philipp Baldauf

MobileStorageMounter

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2025-43355: Dawuge på Shuffle Team

Notes

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med fysisk åtkomst till en olåst enhet kan visa en bild i den senast visade låsta anteckningen

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2025-43203: Tom Brzezinski

Safari

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad URL-omdirigering

Beskrivning: Problemet åtgärdades med förbättrad URL-validering.

CVE-2025-31254: Evan Waelde

Sandbox

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-43329: en anonym forskare

Shortcuts

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan kringgå sandlådebegränsningar

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare sandlådebegränsningar.

CVE-2025-43358: 정답이 아닌 해답

Siri

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Privata surfflikar kan nås utan autentisering

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en fil kan leda till minnesfel

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-6965

System

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Ett problem med indatavalidering åtgärdades

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

Text Input

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tangentbordsförslag kan visa känslig information på låsskärmen

Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.

CVE-2025-24133: Joey Hewitt, en anonym forskare, Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) & Richard Hyunho Im (@richeeta), Mark Bowers, Dylan Rollins, Arthur Baudoin, Andr.Ess

WebKit

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En webbplats kan få tillgång till sensorinformation utan användarens tillstånd

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2025-43356: Jaydev Ahire

WebKit

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43272: Big Bear

WebKit

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43343: en anonym forskare

WebKit

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett korrekthetsfel åtgärdades med förbättrade kontroller.

CVE-2025-43342: en anonym forskare

WebKit Process Model

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-43368: Pawel Wylecial of REDTEAM.PL i samarbete med Trend Micro Zero Day Initiative

Ytterligare tack

Accessibility

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram India, Himanshu Bharti @Xpl0itme från Khatima för hjälpen.

Accounts

Vi vill tacka Lehan Dilusha Jayasingha, 要乐奈 för hjälpen.

AuthKit

Vi vill tacka Rosyna Keller på Totally Not Malicious Software för hjälpen.

Calendar

Vi vill tacka Keisuke Chinone (Iroiro) för hjälpen.

Camera

Vi vill tacka Descartes, Yusuf Kelany, en anonym forskare för hjälpen.

CFNetwork

Vi vill tacka Christian Kohlschütter för hjälpen.

CloudKit

Vi vill tacka Yinyi Wu (@_3ndy1) från Dawn Security Lab of JD.com, Inc för hjälpen.

Control Center

Vi vill tacka Damitha Gunawardena för hjälpen.

CoreMedia

Vi vill tacka Noah Gregory (wts.dev) hjälpen.

darwinOS

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

Device Recovery

Vi vill tacka en anonym forskare för hjälpen.

Files

Vi vill tacka Tyler Montgomery för hjälpen.

Foundation

Vi vill tacka Csaba Fitzl (@theevilbit) på Kandji för hjälpen.

iCloud Photo Library

Vi vill tacka Dawuge of Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) och ChengQiang Jin (@白斩鸡) på DBAppSecurity's WeBin lab för hjälpen.

ImageIO

Vi vill tacka DongJun Kim (@smlijun) och JongSeong Kim (@nevul37) i Enki WhiteHat för hjälpen.

IOGPUFamily

Vi vill tacka Wang Yu på Cyberserval för hjälpen.

Kernel

Vi vill tacka Yepeng Pan, Prof. Dr. Christian Rossow för hjälpen.

libc

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

libpthread

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

libxml2

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

Lockdown Mode

Vi vill tacka Jonathan Thach, Pyrophoria och Ethan Day, kado för hjälpen.

mDNSResponder

Vi vill tacka Barrett Lyon för hjälpen.

MediaRemote

Vi vill tacka Dora Orak för hjälpen.

MobileBackup

Vi vill tacka Dragon Fruit Security (Davis Dai & ORAC落云 & Frank Du) för hjälpen.

Networking

Vi vill tacka Csaba Fitzl (@theevilbit) på Kandji för hjälpen.

Notes

Vi vill tacka Atul R V för hjälpen.

Passwords

Vi vill tacka Christian Kohlschütter för hjälpen.

Phone

Vi vill tacka Dalibor Milanovic för hjälpen.

Safari

Vi vill tacka Ameen Basha M K, Chi Yuan Chang of ZUSO ART and taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew för hjälpen.

Sandbox Profiles

Vi vill tacka Rosyna Keller på Totally Not Malicious Software för hjälpen.

Security

Vi vill tacka Jatayu Holznagel (@jholznagel), THANSEER KP för hjälpen.

Setup Assistant

Vi vill tacka Edwin R. för hjälpen.

Siri

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India, Amandeep Singh Banga, Andrew Goldberg på The McCombs School of Business, The University of Texas at Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) för hjälpen.

Siri Suggestions

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på C-DAC Thiruvananthapuram Indien för hjälpen.

Spotlight

Vi vill tacka Christian Scalese, Jake Derouin (jakederouin.com) för hjälpen.

Status Bar

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India, Dalibor Milanovic, Jonathan Thach för hjälpen.

Transparency

Vi vill tacka Wojciech Regula of SecuRing (wojciechregula.blog), 要乐奈 för hjälpen.

User Management

Vi vill tacka Muhaned Almoghira för hjälpen.

WebKit

Vi vill tacka Bob Lord, Matthew Liang, Mike Cardwell från grepular.com, Stanley Lee Linton för hjälpen.

Wi-Fi

Vi vill tacka Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) från Kandji, Noah Gregory (wts.dev), Wojciech Regula of SecuRing (wojciechregula.blog), en anonym forskare för hjälpen.

Widgets

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India för hjälpen.