Informace o bezpečnostním obsahu iOS 18.7.3 a iPadOS 18.7.3

Tento dokument popisuje bezpečnostní obsah iOS 18.7.3 a iPadOS 18.7.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 18.7.3 a iPadOS 18.7.3

AppleJPEG

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování souboru může vést k poškození paměti

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Call History

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočník může podvrhnout své ID volajícího ve FaceTimu.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2025-46287: anonymní výzkumník, Riley Walz

curl

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Několik problémů v knihovně curl.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Pole hesla mohou být neúmyslně odhalena při ovládání zařízení na dálku prostřednictvím FaceTime.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2025-43542: Yiğit Ocak

Foundation

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivých dat může vést k neočekávanému ukončení aplikace.

Popis: Problém s poškozením paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-43532: Andrew Calvano a Lucas Pinheiro z týmu Meta Product Security

Icons

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit zjistit, jaké další aplikace má uživatel nainstalované.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2025-43512: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs

Kernel

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Celočíselné přetečení bylo řešeno zavedením 64bitových časových značek.

CVE-2025-46285: Kaitao Xie a Xiaolong Bai ze společnosti Alibaba Group

libarchive

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování souboru může vést k poškození paměti

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-5918

Zprávy

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se zveřejněním informací byl vyřešen vylepšenou kontrolou soukromí.

CVE-2025-46276: Rosyna Keller z týmu Totally Not Malicious Software

Čas u obrazovky

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2025-43538: Iván Savransky

Nastavení

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2025-43530: Mickey Jin (@patch1t)

Telephony

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen zavedením dalších kontrol oprávnění.

CVE-2025-46292: Rosyna Keller z týmu Totally Not Malicious Software

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-43535: Nan Wang (@eternalsakura13), Google Big Sleep

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy stavu.

CVE-2025-43541: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

CVE-2025-43501: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.

CVE-2025-43531: Phil Pizlo ze společnosti Epic Games

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být zneužit k mimořádně sofistikovanému útoku na konkrétní cílové osoby používající verze iOS starší než iOS 26. V reakci na tuto položku byla rovněž vydána CVE-2025-14174.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2025-43529: Google Threat Analysis Group

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti. Apple má informace o tom, že tento problém mohl být zneužit k mimořádně sofistikovanému útoku na konkrétní cílové osoby používající verze iOS starší než iOS 26. V reakci na tuto položku byla rovněž vydána CVE-2025-43529.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.

CVE-2025-14174: Apple a Google Threat Analysis Group

Další poděkování

Siri

Poděkování za pomoc zaslouží Richard Hyunho Im (@richeeta) ze společnosti Route Zero Security (routezero.security).