Informace o bezpečnostním obsahu iOS 18.7 a iPadOS 18.7

Tento dokument popisuje bezpečnostní obsah iOS 18.7 a iPadOS 18.7.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 18.7 a iPadOS 18.7

Audio

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2025-43346: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreAudio

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého souboru videa může vést k neočekávanému ukončení aplikace.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2025-43349: @zlluny ve spolupráci s týmem Zero Day Initiative společnosti Trend Micro

IOHIDFamily

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-43302: Keisuke Hosoda

Kernel

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Socket serveru UDP vázaný na místní rozhraní se může stát vázaným na všechna rozhraní

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikace může být schopná zaznamenávat stisknutí kláves, aniž by to uživatel povolil.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-43362: Philipp Baldauf

libc

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

MobileStorageMounter

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.

CVE-2025-43355: Dawuge z týmu Shuffle

Notes

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočník s fyzickým přístupem k odemčenému zařízení může být schopen zobrazit obrázek v naposledy zobrazené zamčené poznámce

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2025-43203: Tom Brzezinski

Shortcuts

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zkratka může být schopna obejít omezení sandboxu.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení pro sandbox.

CVE-2025-43358: 정답이 아닌 해답

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Webové stránce se může podařit získat přístup k uživatelovým citlivým údajům bez jeho svolení.

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2025-43356: Jaydev Ahire

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém se správností byl vyřešen vylepšením kontrol.

CVE-2025-43342: anonymní výzkumník

Další poděkování

IOGPUFamily

Poděkování za pomoc zaslouží Wang Yu z týmu Cyberserval.

libpthread

Poděkování za pomoc zaslouží Nathaniel Oh (@calysteon).

libxml2

Poděkování za pomoc zaslouží Nathaniel Oh (@calysteon).

Lockdown Mode

Poděkování za pomoc zaslouží Pyrophoria a Ethan Day, kado.

Wi-Fi

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) ze společnosti Kandji, Noah Gregory (wts.dev), Wojciech Regula ze společnosti SecuRing (wojciechregula.blog) a anonymní výzkumník.