Om sikkerhedsindholdet i iOS 18.6 og iPadOS 18.6

I dette dokument beskrives sikkerhedsindholdet i iOS 18.6 og iPadOS 18.6.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 18.6 og iPadOS 18.6

Udgivet 29. juli 2025

Accessibility

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller

Effekt: Adgangskode kan blive læst højt af VoiceOver

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Effekt: Indikatorerne for anonymitet for mikrofon- og kameraadgang vises muligvis ikke korrekt

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-43186: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CFNetwork

Effekt: En bruger uden rettigheder kan muligvis ændre begrænsede netværksindstillinger

Beskrivelse: Et DoS-problem er løst via forbedret inputgodkendelse.

CVE-2025-43223: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

CoreAudio

Effekt: Behandling af et skadeligt lydarkiv kan medføre beskadigelse af hukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-43277: Googles Threat Analysis Group

CoreMedia

Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2025-43210: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia Playback

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.

CVE-2025-43230: Chi Yuan Chang fra ZUSO ART og taikosoup

ICU

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2025-43209: Gary Kwong, der arbejder med Trend Micros Zero Day Initiative

ImageIO

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2025-43226

Kernel

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Et double free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2025-43282: Christian Kohlschütter

Post tilføjet 15. oktober 2025

libnetcore

Effekt: Behandling af et arkiv kan medføre beskadigelse af hukommelsen

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2025-43202: Brian Carpenter

libxml2

Effekt: Behandling af et arkiv kan medføre beskadigelse af hukommelsen

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2025-7425: Sergei Glazunov fra Google Project Zero

libxslt

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-7424: Ivan Fratric fra Google Project Zero

Mail Drafts

Effekt: Eksternt indhold kan muligvis blive indlæst, selv når indstillingen "Indlæs eksterne billeder" er slået fra

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Mail Drafts

Effekt: Videresendelse af en e-mail kan vise eksterne billeder i Mail i Nedlukningstilstand

Beskrivelse: Problemet blev løst ved ikke at indlæse eksterne billeder

CVE-2025-43280: Himanshu Bharti @Xpl0itme

Post tilføjet 15. oktober 2025

Metal

Effekt: Behandling af en skadelig tekstur kan medføre uventet applukning

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2025-43234: Vlad Stolyarov fra Googles Threat Analysis Group

Model I/O

Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2025-43224: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CVE-2025-43221: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Model I/O

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et problem med godkendelse af input er løst med forbedret hukommelsesbehandling.

CVE-2025-31281: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

SQLite

Effekt: Behandling af et arkiv kan medføre beskadigelse af hukommelsen

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-6965

Post tilføjet 15. oktober 2025

WebKit

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.

WebKit Bugzilla: 294374

CVE-2025-43228: Jaydev Ahire

WebKit

Effekt: Behandling af skadeligt webindhold kan medføre afsløring af følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret statusadministration.

WebKit Bugzilla: 292888

CVE-2025-43227: Gilad Moav, Yehuda Afek, Anat Bremler-Barr og Amit Klein

Post opdateret 15. oktober 2025

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 291742

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

WebKit Bugzilla: 291745

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

WebKit Bugzilla: 293579

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 292599

CVE-2025-43214: shandikri, der arbejder med Trend Micro Zero Day Initiative, Google V8 Security Team

WebKit Bugzilla: 292621

CVE-2025-43213: Google V8 Security Team

WebKit Bugzilla: 293197

CVE-2025-43212: Nan Wang (@eternalsakura13) og Ziling Chen

WebKit

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 293730

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

WebKit

Effekt: Behandling af skadeligt webindhold kan forårsage videregivelse af de interne tilstande for appen

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

WebKit Bugzilla: 294182

CVE-2025-43265: HexRabbit (@h3xr4bb1t) fra DEVCORE Research Team

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 295382

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

WebKit Bugzilla: 296459

CVE-2025-6558: Clément Lecigne og Vlad Stolyarov fra Googles Threat Analysis Group

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India, Hamza BHP, Himanshu Bharti (@Xpl0itme) for hjælpen.

Activation Lock

Vi vil gerne takke salemdomain for hjælpen.

Bluetooth

Vi vil gerne takke LIdong LI, Xiao Wang, Shao Dong Chen og Chao Tan fra Source Guard for hjælpen.

CoreAudio

Vi vil gerne takke Noah Weinberg for hjælpen.

Device Management

Vi vil gerne takke Al Karak for hjælpen.

libxml2

Vi vil gerne takke Sergei Glazunov fra Google Project Zero for hjælpen.

libxslt

Vi vil gerne takke Ivan Fratric fra Google Project Zero for hjælpen.

Managed Configuration

Vi vil gerne takke Bill Marczak fra The Citizen Lab på The University of Torontos Munk School for hjælpen.

MobileGestalt

Vi vil gerne takke Hana Kim (@hanakim3945) fra XiguaSec for hjælpen.

Post tilføjet 15. oktober 2025

Photos

Vi vil gerne takke Chaojie Peng (彭超杰) og Dalibor Milanovic for hjælpen.

Post opdateret 15. oktober 2025

Safari

Vi vil gerne takke Ameen Basha M K for hjælpen.

Shortcuts

Vi vil gerne takke Dennis Kniep for hjælpen.

Siri

Vi vil gerne takke Timo Hetzel for hjælpen.

WebKit

Vi vil gerne takke Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei, rheza (@ginggilBesel) for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 23. oktober 2025