In diesem Dokument wird der Sicherheitsinhalt von iOS 18.3 und iPadOS 18.3 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
Veröffentlicht am Montag, 27. Januar 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Ein Angreifer mit physischem Zugriff auf ein entsperrtes Gerät kann möglicherweise auf die Fotos-App zugreifen, während diese gesperrt ist.
Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) von C-DAC Thiruvananthapuram India
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Angriffe auf das lokale Netzwerk können den Prozessspeicher beschädigen.
Beschreibung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.
CVE-2025-24126: Uri Katz (Oligo Security)
Eintrag aktualisiert am 28. April 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Angriffe auf das lokale Netzwerk können Apps unerwartet beenden.
Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24129: Uri Katz (Oligo Security)
Eintrag aktualisiert am 28. April 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24131: Uri Katz (Oligo Security)
Eintrag aktualisiert am 28. April 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2025-24177: Uri Katz (Oligo Security)
CVE-2025-24179: Uri Katz (Oligo Security)
Eintrag aktualisiert am 28. April 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Angreifer im lokalen Netzwerk können einen Fehler beim Prozessspeicher verursachen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24137: Uri Katz (Oligo Security)
Eintrag aktualisiert am 28. April 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu und Xingwei Lin von Zhejiang University
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24123: Desmond in Zusammenarbeit mit der Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) in Zusammenarbeit mit der Trend Micro Zero Day Initiative
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Ein Schadprogramm kann die Rechte erhöhen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell gegen Versionen von iOS vor iOS 17.2 aktiv ausgenutzt wurde.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24085
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) und Lee Dong Ha (Who4mI)
Eintrag hinzugefügt am Freitag, 16. Mai 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2025-24111: Wang Yu von Cyberserval
Eintrag hinzugefügt am 12. Mai 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24086: DongJun Kim (@smlijun) und JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.
Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Eintrag hinzugefügt am 12. Mai 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine schadhafte App kann möglicherweise Root-Rechte erlangen.
Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.
CVE-2025-24107: Ein anonymer Forscher
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2025-24159: pattern-f (@pattern_F_)
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann möglicherweise auf den Fingerabdruck eines Benutzers zugreifen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.
Beschreibung: Eine App kann unter Umständen den Anschein von Systembenachrichtigungen erwecken. Vertrauliche Benachrichtigungen erfordern jetzt eine strikte Berechtigung.
CVE-2025-24091: Guilherme Rambo von Best Buddy Apps (rambo.codes)
Eintrag aktualisiert am 30. April 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.
Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.
CVE-2024-55549: Ivan Fratric von Google Project Zero
CVE-2025-24855: Ivan Fratric von Google Project Zero
Eintrag am Freitag, 16. Mai 2025 aktualisiert
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Wiederherstellung einer in böswilliger Absicht erstellten Sicherungsdatei kann zur Änderung geschützter Systemdateien führen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Verarbeitung von Symlinks behoben.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.
Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.
CVE-2025-31262: Mickey Jin (@patch1t)
Eintrag hinzugefügt am Freitag, 16. Mai 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann möglicherweise unbefugt auf Bluetooth zugreifen.
Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.
CVE-2024-9956: mastersplinter
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Fotos im ausgeblendeten Fotoalbum können möglicherweise ohne Authentifizierung angezeigt werden.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2025-31185: Jason Gendron (@gendron_jason), 이준성 (Junsung Lee)
Eintrag hinzugefügt am Freitag, 16. Mai 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.
Beschreibung: Dieses Problem wurde durch eine zusätzliche Logik behoben.
CVE-2025-24128: @RenwaX23
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).
Beschreibung: Das Problem wurde durch verbesserte UI behoben.
CVE-2025-24113: @RenwaX23
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Analyse einer Datei kann zur Preisgabe von Benutzerinformationen führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2025-24149: Michael DePlante (@izobashi) von der Zero Day Initiative von Trend Micro
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine App kann möglicherweise die Telefonnummer eines Kontakts in den Systemprotokollen lesen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.
CVE-2025-24145: Kirin (@Pwnrin)
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Ein Angreifer kann einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2025-24154: Ein anonymer Forscher
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu Fehlern beim Speicher führen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 284332
CVE-2025-24189: Ein anonymer Forscher
Eintrag hinzugefügt am Freitag, 16. Mai 2025
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Eine in böser Absicht erstellte Webseite kann möglicherweise auf den Fingerabdruck eines Benutzers zugreifen.
Beschreibung: Das Problem wurde durch eine verbesserte Beschränkung des Zugriffs auf das Dateisystem behoben.
WebKit Bugzilla: 283117
CVE-2025-24143: Ein anonymer Forscher
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Verarbeitung von Webinhalten kann zu einem Denial-of-Service führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) von NUS CuriOSity und P1umer (@p1umer) von Imperial Global Singapore
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy von HKUS3Lab und chluo von WHUSecLab
Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)
Auswirkung: Das Kopieren einer URL aus Web Inspector kann zu einer Befehlseinschleusung führen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Verarbeitung von Dateien behoben.
WebKit Bugzilla: 283718
CVE-2025-24150: Johan Carlsson (joaxcar)
Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom LNCT Bhopal und vom C-DAC Thiruvananthapuram India für die Unterstützung bedanken.
Wir möchten uns bei Uri Katz, (Oligo Security) für die Unterstützung bedanken.
Eintrag hinzugefügt am 28. April 2025
Wir möchten uns bei der Google Threat Analysis Group für die Unterstützung bedanken.
Wir möchten uns bei der Google Threat Analysis Group für die Unterstützung bedanken.
Wir möchten uns bei Chi Yuan Chang von ZUSO ART und taikosoup für die Unterstützung bedanken.
Wir möchten Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal, Indien, sowie George Kovaios und Srijan Poudel für ihre Unterstützung danken.
Eintrag hinzugefügt am Freitag, 16. Mai 2025
Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology, Bhopal, Indien, und Xingjian Zhao (@singularity-s0) für die Unterstützung bedanken.
Wir möchten uns bei Talal Haj Bakry und Tommy Mysk von Mysk Inc. @Mysk_co für die Unterstützung bedanken.
Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von C-DAC Thiruvananthapuram India und einem anonymen Forscher für die Unterstützung bedanken.
Wir möchten uns bei Yannik Bloscheck (yannikbloscheck.com) für die Unterstützung bedanken.
Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom LNCT Bhopal und vom C-DAC Thiruvananthapuram India für die Unterstützung bedanken.
Wir möchten uns bei Holger Fuhrmannek für die Unterstützung bedanken.
Wir möchten uns bei Bistrit Dahal und Dalibor Milanovic für die Unterstützung bedanken.