Apple, iPhone ve iPad kullanıcıları için gizlilik ihlallerine, uygulama çökmelerine ve olası veri sızıntılarına yol açabilecek çok sayıda güvenlik açığını gideren iOS 26.1 ve iPadOS 26.1’i yayımladı.
Güncelleme, iPhone 11 serisinden başlayarak iPad Pro (3. nesil 12,9 inç ve sonrası), iPad Pro 11 inç (1. nesil ve sonrası), iPad Air (3. nesil ve sonrası), iPad (8. nesil ve sonrası) ve iPad mini (5. nesil ve sonrası) dahil olmak üzere çeşitli iPad modellerini ve iPhone 11 serisinden başlayan cihazları hedefliyor.
Bu sürüm, özellikle gelişmiş kötü amaçlı yazılımların ve hedefli saldırıların olduğu bir dönemde siber risklerin yoğunlaştığı bir dönemde, Apple’ın gelişen tehditlere karşı hızlı yanıt verme konusunda süregelen kararlılığının altını çiziyor.
Yamalar, WebKit, Çekirdek ve Erişilebilirlik özellikleri gibi temel bileşenlerde 50’den fazla sorunu ele alıyor. Birçoğu, kötü amaçlı uygulamaların kullanıcı verilerini gözetlemesine veya sistemi istikrarsızlaştırmasına olanak tanıyan bellek bozulması risklerinden, gizlilik sorunlarından ve korumalı alan kaçışlarından kaynaklanmaktadır.
ByteDance’den güvenlik araştırmacıları, Trend Micro’nun Zero Day Initiative’i, Google ve bağımsız uzmanlar kusurların çoğunu keşfettiler ve iOS ekosistemindeki güvenlik açığı avcılığının işbirliğine dayalı doğasını vurguladılar.
Önemli Gizlilik ve Sandbox Güvenlik Açıkları Düzeltildi
Çeşitli düzeltmeler, uygulamaların veri hırsızlığının yaygın bir vektörü olan sınırları aşmasını önlemeye odaklanıyor. Örneğin, Erişilebilirlik’teki (CVE-2025-43442) bir izin kusuru, uygulamaların diğer yüklü uygulamaları algılamasına olanak tanıyarak parmak izinin alınmasına olanak tanıyor.
Apple bunu daha katı kısıtlamalarla hafifletti. Benzer şekilde, Apple Hesabı bileşeni (CVE-2025-43455), gelişmiş gizlilik denetimleri aracılığıyla kötü amaçlı uygulamaların yerleşik görünümlerdeki hassas bilgilerin ekran görüntüsünü almasını engelledi.
Çekirdek ve Apple Neural Engine’deki bellek işleme iyileştirmeleri (CVE-2025-43398, CVE-2025-43447, CVE-2025-43462), hizmet reddi saldırılarına yol açabilecek beklenmedik çökmeleri veya çekirdek bozulmalarını önler.
Varlıklar ve CloudKit güncellemeleri (CVE-2025-43407, CVE-2025-43448), sembolik bağlantıları daha sıkı bir şekilde doğrulayarak ve uygulamaların korumalı dosyalara erişmek için sınırlarından kaçmasını önleyerek korumalı alan bütünlüğünü güçlendirir.
Kişiler ve Fotoğraflar ayrıca hassas verileri düzenlemek ve yetkisiz erişimi engellemek için günlük kaydı ve geçici dosya düzenlemeleri (CVE-2025-43426, CVE-2025-43391) aldı. Çalıntı Cihaz Koruması’ndaki (CVE-2025-43422) dikkate değer bir düzeltme, fiziksel saldırganların, kaybolan veya çalınan cihazları korumak için hayati önem taşıyan özelliği devre dışı bırakmasını önlemek için mantık ekler.
| Bileşen | CVE | Darbe | Tanım | Araştırmacı |
|---|---|---|---|---|
| Erişilebilirlik | CVE-2025-43442 | Uygulama yüklü uygulamaları tanımlar | Ek kısıtlamalarla birlikte izin sorunu | Zhongcheng Li (ByteDance) |
| Apple Hesabı | CVE-2025-43455 | Kötü amaçlı uygulama ekran görüntüleri hassas bilgiler | İyileştirilmiş kontrollerle ilgili gizlilik sorunu | Ron Masas, Pınak Oza |
| Çekirdek | CVE-2025-43398 | Beklenmeyen sistem sonlandırması | Geliştirilmiş bellek kullanımı | Cristian Dinca (icmd.tech) |
| Varlıklar | CVE-2025-43407 | Uygulama korumalı alanı bozuyor | Geliştirilmiş yetkiler | JZ |
| Bulut Kiti | CVE-2025-43448 | Uygulama korumalı alanı bozuyor | Geliştirilmiş sembolik bağlantı doğrulaması | Hikerell (Loadshine Laboratuvarı) |
| Kişiler | CVE-2025-43426 | Uygulama hassas verilere erişiyor | Günlük kaydında iyileştirilmiş veri düzenleme | Wojciech Regula (SecuRing) |
| Çalıntı Cihaz Koruması | CVE-2025-43422 | Saldırgan korumayı devre dışı bırakır | Mantık eklendi | Will Caine |
WebKit Yenilemesi Web Tabanlı İstismarları Hedefliyor
Safari ve web görünümlerini destekleyen WebKit, çökmeler, bellek bozulması ve çapraz kaynak veri sızıntısı düzeltmeleriyle güncellemeye hakim oluyor.
Serbest bırakma sonrası kullanım güvenlik açığı (CVE-2025-43438), kötü amaçlı içerik yoluyla Safari’yi çökertebilir; arabellek taşmaları (CVE-2025-43429) ise rastgele kod yürütülmesi riskini doğurabilir.
Apple bu sorunları daha iyi bellek yönetimi, sınır denetimi ve dizi tahsisinin azalması gibi riskli optimizasyonların devre dışı bırakılması yoluyla ele aldı (CVE-2025-43421).
Gizlilik tehditleri arasında tuş vuruşu izleme (CVE-2025-43495) ve Canvas’ta çapraz kaynaklı görüntü hırsızlığı (CVE-2025-43392) yer alır. Sahte siteleri ziyaret etmek kullanıcıları kandırabilir (CVE-2025-43493, CVE-2025-43503), bu durum artık kullanıcı arayüzü durumu iyileştirmeleriyle karşılanmaktadır.
| Bileşen | CVE | Darbe | Tanım | Araştırmacı |
|---|---|---|---|---|
| Web Kiti | CVE-2025-43480 | Kaynaklar arası veri sızıntısı | Geliştirilmiş kontroller (Bugzilla 276208) | Alexey Popov |
| Web Kiti | CVE-2025-43438 | Ücretsiz kullanımdan sonra Safari çöküyor | Geliştirilmiş bellek yönetimi (Bugzilla 297662) | (Trend Mikro ZDI) |
| Web Kiti | CVE-2025-43495 | Tuş vuruşu izleme | Geliştirilmiş kontroller (Bugzilla 300095) | Lehan Diluşa Jayasinghe |
| WebKit Kanvası | CVE-2025-43392 | Çapraz kökenli resim dosyası | Geliştirilmiş önbellek yönetimi (Bugzilla 297566) | Tom Van Goethem |
| Web Kiti | CVE-2025-43429 | Arabellek taşması nedeniyle işlem çökmesi | Geliştirilmiş sınır kontrolü (Bugzilla 298232) | Google Büyük Uyku |
Kamera, Siri ve Metin Girişi gibi diğer bileşenler, mantık kusurları ve kilit ekranı sızıntıları için hedeflenen yamalar aldı (CVE-2025-43450, CVE-2025-43454, CVE-2025-43452).
Yama uygulanmamış cihazlar sıfır gün saldırılarına karşı savunmasız kaldığından uzmanlar acil güncelleme yapılmasını talep ediyor. Apple’ın güvenlik sayfası tüm düzeltmelerin ayrıntılarını vererek, ödül programı kapsamında araştırmacılara itibar ediyor. iOS 26.1 ile kullanıcılar, karmaşık tehditlerle dolu bir ortama karşı daha güçlü savunmalara sahip oluyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
