Om sikkerhedsindholdet i iOS 18.4 og iPadOS 18.4

I dette dokument beskrives sikkerhedsindholdet i iOS 18.4 og iPadOS 18.4.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 18.4 og iPadOS 18.4

Udgivet 31. marts 2025

Accessibility

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-24202: Zhongcheng Li fra IES Red Team hos ByteDance

Accounts

Effekt: Følsomme nøgleringsdata kan muligvis tilgås fra en iOS-sikkerhedskopi

Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger for data.

CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka og en anonym programmør

AirDrop

Effekt: En app kan muligvis læse vilkårlige arkivmetadata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-24097: Ron Masas fra BREAKPOINT.SH

Audio

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24244: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Audio

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24243: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Authentication Services

Effekt: Autoudfyldning af adgangskode kan udfylde adgangskoder efter mislykket godkendelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-30430: Dominik Rath

Authentication Services

Effekt: Et skadeligt websted kan muligvis hente WebAuthn-loginoplysninger fra et andet websted, der deler et suffiks, som kan registreres

Beskrivelse: Problemet er løst via forbedret inputvalidering.

CVE-2025-24180: Martin Kreichgauer fra Google Chrome

BiometricKit

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2025-24237: Yutong Xiu

Calendar

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Effekt: Afspilning af et skadeligt lydarkiv kan forårsage en uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2025-24230: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Effekt: Behandling af et skadeligt videoarkiv kan forårsage en uventet applukning eller beskadiget proceshukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2025-24211: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Effekt: Behandling af et skadeligt videoarkiv kan forårsage en uventet applukning eller beskadiget proceshukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24190: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia Playback

Effekt: En skadelig app kan muligvis få adgang til private oplysninger

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) fra Microsoft og en anonym programmør

CoreText

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2025-24182: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

curl

Effekt: Et problem med inputvalidering er løst

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2024-9681

DiskArbitration

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Focus

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-30439: Andr.Ess

Focus

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved at rense logføring

CVE-2025-30447: LFY@secsys fra Fudan University

Handoff

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret begrænsning af adgangen til databeholdere.

CVE-2025-30463: mzzzz__

ImageIO

Effekt: Parsing af et billede kan medføre afsløring af brugeroplysninger

Beskrivelse: En logisk fejl er løst via forbedret filhåndtering.

CVE-2025-24210: Anonym, der arbejder med Trend Micro Zero Day Initiative

IOGPUFamily

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2025-24257: Wang Yu fra Cyberserval

Journal

Effekt: Behandling af et skadeligt arkiv kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Problemet er løst via forbedret rensning af input.

CVE-2025-30434: Muhammad Zaid Ghifari (Mr.ZheeV) og Kalimantan Utara

Kernel

Effekt: En skadelig app kan muligvis forsøge at få adgang til en låst enhed via adgangskoder og dermed forårsage større tidsforsinkelser efter 4 forkerte forsøg

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Effekt: Et problem med inputvalidering er løst

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2024-48958

libnetcore

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-24194: en anonym programmør

libxml2

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-24178: en anonym programmør

libxpc

Effekt: En app kan muligvis slette arkiver, som den ikke har tilladelse til

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2025-31182: Alex Radocea og Dave G. fra Supernetworks, 风沐云烟(@binary_fmyy) og Minghao Lin(@Y1nKoc)

libxpc

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-24238: en anonym programmør

Maps

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med stihåndtering er løst via forbedret logik.

CVE-2025-30470: LFY@secsys fra Fudan University

MobileLockdown

Fås til: iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 4. generation og nyere modeller, iPad 10. generation og nyere modeller og iPad mini 6. generation og nyere modeller.

Effekt: En hacker med en USB-C-forbindelse til en ulåst enhed kan muligvis få adgang til fotos programmatisk

Beskrivelse: Problemet er løst via forbedret godkendelse.

CVE-2025-24193: Florian Draschbacher

NetworkExtension

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-30426: Jimmy

Photos

Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-30428: Jax Reissner

Photos

Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis få adgang til fotos fra låseskærmen

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-30469: Dalibor Milanovic

Power Services

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.

CVE-2025-24113: @RenwaX23

Safari

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-30467: @RenwaX23

Safari

Effekt: Et websted kan være i stand til at tilgå sensoroplysninger uden brugerens tilladelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-31192: Jaydev Ahire

Safari

Effekt: En overførsels oprindelse er muligvis forkert tilknyttet

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai fra Alibaba Group, Luyi Xing fra Indiana University Bloomington

Share Sheet

Effekt: En skadelig app kan muligvis afvise systemnotifikationen på den låste skærm, hvor en optagelse blev startet

Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Effekt: En genvej kan muligvis få adgang til arkiver, som appen Genveje normalt ikke kan få adgang til

Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.

CVE-2025-30433: Andrew James Gonzalez

Siri

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret begrænsning af adgangen til databeholdere.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst ved ikke at logge indhold i tekstfelter.

CVE-2025-24214: Kirin (@Pwnrin)

Siri

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2025-24205: YingQi Shi (@Mas0nShi) fra DBAppSecurity's WeBin lab og Minghao Lin (@Y1nKoc)

Siri

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2025-24198: Richard Hyunho Im (@richeeta) med routezero.security

Web Extensions

Effekt: En app kan muligvis få uautoriseret adgang til lokalnetværk

Beskrivelse: Problemet er løst ved forbedret kontrol af tilladelser.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt og Mathy Vanhoef (@vanhoefm) og Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Effekt: Et besøg på et websted kan medføre afsløring af følsomme data

Beskrivelse: Et problem med import af scripts er løst via forbedret isolering.

CVE-2025-24192: Vsevolod Kokorin (Slonser) fra Solidlab

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 285892

CVE-2025-24264: Gary Kwong og en anonym programmør

WebKit Bugzilla: 284055

CVE-2025-24216: Paul Bakker fra ParagonERP

WebKit

Effekt: Et problem med forveksling af typer kan medføre beskadigelse af hukommelsen

Beskrivelse: Problemet er løst via forbedret håndtering af flydende emner.

WebKit Bugzilla: 286694

CVE-2025-24213: Google V8 Security Team

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 286462

CVE-2025-24209: Francisco Alonso (@revskills) og en anonym programmør

WebKit

Effekt: Indlæsning af en skadelig iframe kan medføre et scriptingangreb på tværs af websteder

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

WebKit Bugzilla: 286381

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) og Kalimantan Utara

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 285643

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari

Beskrivelse: Problemet er løst via forbedret statusadministration.

WebKit Bugzilla: 286580

CVE-2025-30425: og en anonym programmør

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Richard Hyunho Im (@richeeta) med routezero.security og shane gallagher for hjælpen.

Accounts

Vi vil gerne takke Bohdan Stasiuk (@bohdan_stasiuk) for hjælpen.

Apple Account

Vi vil gerne takke Byron Fecho for hjælpen.

Audio

Vi vil gerne takke Hossein Lotfi (@hosselot) fra Trend Micros Zero Day Initiative for hjælpen.

FaceTime

Vi vil gerne takke en anonym, Dohyun Lee (@l33d0hyun) fra USELab, Korea University og Youngho Choi fra CEL, Korea University og Geumhwan Cho fra USELab, Korea University for hjælpen.

Find My

Vi vil gerne takke 神罚(@Pwnrin) for hjælpen.

Foundation

Vi vil gerne takke Jann Horn fra Google Project Zero for dennes assistance.

Handoff

Vi vil gerne takke Kirin og FlowerCode for hjælpen.

HearingCore

Vi vil gerne takke Kirin@Pwnrin og LFY@secsys fra Fudan University for hjælpen.

Home

Vi vil gerne takke Hasan Sheet for hjælpen.

ImageIO

Vi vil gerne takke D4m0n for hjælpen.

Mail

Vi vil gerne takke Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau fra The Chinese University of Hong Kong, K宝 og LFY@secsys fra Fudan University for hjælpen.

Messages

Vi vil gerne takke parkminchan fra Korea Univ. for hjælpen.

Notes

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

Passwords

Vi vil gerne takke Stephan Davidson og Tim van Dijen fra SimpleSAMLphp for hjælpen.

Photos

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India, Abhishek Kanaujia, Bistrit Dahal, Dalibor Milanovic, Himanshu Bharti og Srijan Poudel for hjælpen.

Photos Storage

Vi vil gerne takke Aakash Rayapur, Ahmed Mahrous, Bistrit Dahal, Finley Drewery, Henning Petersen, J T, Nilesh Mourya, Pradip Bhattarai, Pranav_PranayX01, Sai Tarun Aili, Stephen J Lalremruata, Вячеслав Погорелов og en anonym programmør for hjælpen.

Safari

Vi vil gerne takke George Bafaloukas (george.bafaloukas@pingidentity.com) og Shri Hunashikatti (sshpro9@gmail.com) for hjælpen.

Safari Extensions

Vi vil gerne takke Alisha Ukani, Pete Snyder og Alex C. Snoeren for hjælpen.

Safari Private Browsing

Vi vil gerne takke Charlie Robinson for hjælpen.

Sandbox Profiles

Vi vil gerne takke Benjamin Hornbeck for hjælpen.

SceneKit

Vi vil gerne takke Marc Schoenefeld, Dr. rer. for hjælpen. nat. for hjælpen.

Screen Time

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

Security

Vi vil gerne takke Kevin Jones (GitHub) for hjælpen.

Settings

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India, Joaquin Ruano Campos og Lucas Monteiro for hjælpen.

Shortcuts

Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup og en anonym programmør for hjælpen.

Siri

Vi vil gerne takke Lyutoon for hjælpen.

srd_tools

Vi vil gerne takke Joshua van Rijswijk, Micheal ogaga og hitarth shah for hjælpen.

Status Bar

Vi vil gerne takke J T, Richard Hyunho Im (@r1cheeta) og Suraj Sawant for hjælpen.

Translations

Vi vil gerne takke K宝(@Pwnrin) for hjælpen.

Wallet

Vi vil gerne takke Aqib Imran for hjælpen.

WebKit

Vi vil gerne takke Gary Kwong, Jesse Stolwijk, P1umer (@p1umer) og Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang og Daoyuan Wu fra HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) fra VXRL, Wong Wai Kin, Dongwei Xiao og Shuai Wang fra HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) fra VXRL, Xiangwei Zhang fra Tencent Security YUNDING LAB, 냥냥 og en anonym programmør for hjælpen.

Writing Tools

Vi vil gerne takke Richard Hyunho Im (@richeeta), der arbejder med Route Zero Security, for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 04. april 2025