Проблеми системи безпеки, які усунено в оновленнях iOS 26.2 та iPadOS 26.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 26.2 та iPadOS 26.2.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 26.2 та iPadOS 26.2

App Store

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може отримувати доступ до конфіденційних токенів платежів.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-46288: floeki, Zhongcheng Li з відділу IES Red компанії ByteDance

AppleJPEG

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: зловмисник може підробляти ідентифікатор абонента FaceTime.

Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.

CVE-2025-46287: анонімний дослідник, Riley Walz

curl

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: виявлено кілька проблем у curl.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: у полях паролів можуть випадково відображатися паролі під час віддаленого керування пристроями через FaceTime.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2025-43542: Yiğit Ocak

Foundation

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може отримувати несанкціонований доступ до файлів через API перевірки правопису.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка зловмисних даних може призводити до неочікуваного завершення роботи програми.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43532: Andrew Calvano та Lucas Pinheiro з відділу безпеки продуктів Meta

Icons

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може визначати, яке інше ПЗ встановив користувач.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може отримувати права кореневого користувача.

Опис: цілочисельне переповнення усунено шляхом впровадження 64-розрядних міток часу.

CVE-2025-46285: Kaitao Xie та Xiaolong Bai з Alibaba Group

libarchive

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-5918

MediaExperience

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43475: Rosyna Keller із Totally Not Malicious Software

Messages

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з розкриттям інформації вирішено завдяки вдосконаленню контролю приватності.

CVE-2025-46276: Rosyna Keller із Totally Not Malicious Software

Multi-Touch

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: зловмисний HID-пристрій може спричинити неочікуване завершення процесу.

Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2025-43533: група аналізу загроз Google

Photos

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: фотографії в альбомі «Приховані» можуть переглядатися без автентифікації.

Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.

CVE-2025-43428: анонімний дослідник, Michael Schmutzer з Інгольштадтського технічного університету

Screen Time

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може отримати доступ до історії користувача Safari.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43538: Iván Savransky

Telephony

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-46292: Rosyna Keller із Totally Not Malicious Software

WebKit

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.

CVE-2025-43541: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2025-43501: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43531: Phil Pizlo з Epic Games

WebKit

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. За результатами цього звіту також опубліковано вразливість CVE-2025-14174.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43529: група аналізу загроз Google

WebKit

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. За результатами цього звіту також опубліковано вразливість CVE-2025-43529.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.

CVE-2025-14174: група з аналізу загроз Apple і Google

WebKit Web Inspector

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43511: 이동하 (Lee Dong Ha з BoB 14th)

Додаткова подяка

AppleMobileFileIntegrity

Дякуємо за допомогу анонімному досліднику.

AppSandbox

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

Core Services

Дякуємо за допомогу Golden Helm Securities.

Safari

Дякуємо за допомогу користувачу Mochammad Nosa Shandy Prastyo.

Siri

Дякуємо за допомогу користувачу Richard Hyunho Im (@richeeta) із Route Zero Security (routezero.security).

WebKit

Дякуємо за допомогу користувачу Geva Nurgandi Syahputra (gevakun).