Om sikkerhedsindholdet i iOS 18.3 og iPadOS 18.3
I dette dokument beskrives sikkerhedsindholdet i iOS 18.3 og iPadOS 18.3.
Om Apple-sikkerhedsopdateringer
Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
iOS 18.3 og iPadOS 18.3
Udgivet 27. januar 2025
Accessibility
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En hacker med fysisk adgang til en ulåst enhed kan muligvis få adgang til Fotos, mens appen er låst
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India
AirPlay
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En hacker på det lokale netværk kan muligvis beskadige proceshukommelse
Beskrivelse: Et problem med inputvalidering er løst.
CVE-2025-24126: Uri Katz (Oligo Security)
Post opdateret 28. april 2025
AirPlay
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En hacker på et det lokale netværk kan muligvis forårsage en uventet applukning
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
CVE-2025-24129: Uri Katz (Oligo Security)
Post opdateret 28. april 2025
AirPlay
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2025-24131: Uri Katz (Oligo Security)
Post opdateret 28. april 2025
AirPlay
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb
Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.
CVE-2025-24177: Uri Katz (Oligo Security)
CVE-2025-24179: Uri Katz (Oligo Security)
Post opdateret 28. april 2025
AirPlay
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En hacker på det lokale netværk kan beskadige proceshukommelse
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
CVE-2025-24137: Uri Katz (Oligo Security)
Post opdateret 28. april 2025
ARKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Parsing af et arkiv kan medføre en uventet applukning
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu og Xingwei Lin fra Zhejiang University
CoreAudio
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Parsing af et arkiv kan medføre en uventet applukning
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Parsing af et arkiv kan medføre en uventet applukning
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-24123: Desmond, der arbejder med Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang), der arbejder med Trend Micro Zero Day Initiative
CoreMedia
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 17.2.
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2025-24085
CoreMedia Playback
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan forårsage uventet systemlukning
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) og Lee Dong Ha (Who4mI)
Post tilføjet 16. maj 2025
Display
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan forårsage uventet systemlukning
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2025-24111: Wang Yu fra Cyberserval
Post tilføjet 12. maj 2025
ImageIO
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Behandling af et billede kan føre til DoS-angreb
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2025-24086: DongJun Kim (@smlijun) og JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n
Kernel
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan forårsage, at der lækkes en følsom kernestatus
Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Post tilføjet 12. maj 2025
Kernel
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En skadelig app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
CVE-2025-24107: en anonym programmør
Kernel
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk
Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Libnotify
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: En app kunne efterligne systemnotifikationer. Følsomme notifikationer kræver nu begrænsede rettigheder.
CVE-2025-24091: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
Post opdateret 30. april 2025
libxslt
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.
CVE-2024-55549: Ivan Fratric fra Google Project Zero
CVE-2025-24855: Ivan Fratric fra Google Project Zero
Post opdateret 16. maj 2025
Managed Configuration
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver
Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
PackageKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
CVE-2025-31262: Mickey Jin (@patch1t)
Post tilføjet 16. maj 2025
Passkeys
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan muligvis få uautoriseret adgang til Bluetooth
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.
CVE-2024-9956: mastersplinter
Safari
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse
Beskrivelse: Et logikproblem er løst via forbedret kontrol.
CVE-2025-31185: Jason Gendron (@gendron_jason), 이준성 (Junsung Lee)
Post tilføjet 16. maj 2025
Safari
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.
CVE-2025-24128: @RenwaX23
Safari
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.
CVE-2025-24113: @RenwaX23
SceneKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Parsing af et arkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2025-24149: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
Time Zone
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En app kan muligvis se en kontakts telefonnummer i systemlogge
Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.
CVE-2025-24145: Kirin (@Pwnrin)
WebContentFilter
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En hacker kan muligvis udløse pludselig systemlukning eller beskadigelse af kernehukommelsen
Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.
CVE-2025-24154: en anonym programmør
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse
Beskrivelse: Problemet er løst via forbedrede kontroller.
WebKit Bugzilla: 284332
CVE-2025-24189: en anonym programmør
Post tilføjet 16. maj 2025
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk
Beskrivelse: Problemet blev løst ved forbedret adgangsbegrænsninger til arkivsystemet.
WebKit Bugzilla: 283117
CVE-2025-24143: en anonym programmør
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Behandling af webindhold kan føre til DoS-angreb
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) fra NUS CuriOSity og P1umer (@p1umer) fra Imperial Global Singapore.
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Problemet er løst via forbedret statusadministration.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy fra HKUS3Lab og chluo fra WHUSecLab
WebKit Web Inspector
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller
Effekt: Kopiering af en URL fra Info om web kan muligvis medføre kommandoindsættelse
Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af arkiver.
WebKit Bugzilla: 283718
CVE-2025-24150: Johan Carlsson (joaxcar)
Yderligere anerkendelser
Accessibility
Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.
AirPlay
Vi vil gerne takke Uri Katz (Oligo Security) for hjælpen.
Post tilføjet 28. april 2025
Audio
Vi vil gerne takke Google Threat Analysis Group for hjælpen.
CoreAudio
Vi vil gerne takke Google Threat Analysis Group for hjælpen.
Files
Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup for hjælpen.
iCloud
Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, George Kovaios og Srijan Poudel for hjælpen.
Post tilføjet 16. maj 2025
Meddelelser
Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien og Xingjian Zhao (@singularity-s0) for hjælpen.
Passwords
Vi vil gerne takke Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co for hjælpen.
Phone
Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India og en anonym programmør for hjælpen.
Screenshots
Vi vil gerne takke Yannik Bloscheck (yannikbloscheck.com) for hjælpen.
Sleep
Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.
Static Linker
Vi vil gerne takke Holger Fuhrmannek for hjælpen.
VoiceOver
Vi vil gerne takke Bistrit Dahal, Dalibor Milanovic for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.