Informationen zum Sicherheitsinhalt von iOS 18.4 und iPadOS 18.4

In diesem Dokument wird der Sicherheitsinhalt von iOS 18.4 und iPadOS 18.4 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 18.4 und iPadOS 18.4

Veröffentlicht am 31. März 2025

Accessibility

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-24202: Zhongcheng Li von IES Red Team von ByteDance

Accounts

Auswirkung: Auf vertrauliche Schlüsselbunddaten kann über ein iOS-Backup zugegriffen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Zugriffsbeschränkung behoben.

CVE-2025-24221: Lehan Dilusha (@zafer) und eine anonyme forschende Person

Eintrag am 28. Mai 2025 aktualisiert

AirDrop

Auswirkung: Eine App kann möglicherweise willkürliche Dateimetadaten lesen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24097: Ron Masas von BREAKPOINT.SH

AirPlay

Auswirkung: Nicht authentifizierte Benutzer im selben Netzwerk wie ein angemeldeter Mac können AirPlay-Befehle an diesen senden, ohne mit dem Mac gekoppelt zu sein.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-24271: Uri Katz (Oligo Security)

Eintrag hinzugefügt am 28. April 2025

AirPlay

Auswirkung: Angriffe auf das lokale Netzwerk können vertrauliche Benutzerdaten offenlegen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2025-24270: Uri Katz (Oligo Security)

Eintrag hinzugefügt am 28. April 2025

AirPlay

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-31202: Uri Katz (Oligo Security)

Eintrag hinzugefügt am 28. April 2025

AirPlay

Auswirkung: Angriffe auf das lokale Netzwerk können Apps unerwartet beenden.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24252: Uri Katz (Oligo Security)

Eintrag hinzugefügt am 28. April 2025

AirPlay

Auswirkung: Angriffe auf das lokale Netzwerk können die Authentifizierungsrichtlinie umgehen.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24206: Uri Katz (Oligo Security)

Eintrag hinzugefügt am 28. April 2025

AirPlay

Auswirkung: Angriffe auf das lokale Netzwerk können Apps unerwartet beenden.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30445: Uri Katz (Oligo Security)

Eintrag hinzugefügt am 28. April 2025

AirPlay

Auswirkung: Angriffe auf das lokale Netzwerk können Apps unerwartet beenden.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

Eintrag hinzugefügt am 28. April 2025

Audio

Auswirkung: ASLR kann möglicherweise von einer App umgangen werden.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43205: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Eintrag hinzugefügt am 29. Juli 2025

Audio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24244: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Audio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24243: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Authentication Services

Auswirkung: Beim automatischen Ausfüllen von Passwörtern werden möglicherweise Passwörter eingefügt, nachdem die Authentifizierung fehlgeschlagen ist.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30430: Dominik Rath

Authentication Services

Auswirkung: Eine bösartige Website kann möglicherweise WebAuthn-Anmeldedaten von einer anderen Website anfordern, die ein registrierbares Suffix hat.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2025-24180: Martin Kreichgauer von Google Chrome

BiometricKit

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Eintrag am 28. Mai 2025 aktualisiert

Calendar

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Auswirkung: Die Wiedergabe einer in böswilliger Absicht erstellten Audiodatei kann zu einem unerwarteten App-Abbruch führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24230: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreGraphics

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-31196: wac in Zusammenarbeit mit der Trend Micro Zero Day Initiative

Eintrag hinzugefügt am 28. Mai 2025

CoreMedia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Dieses Problem wurde durch verbesserte Speicherverwaltung behoben.

CVE-2025-24211: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative

CoreMedia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24190: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreMedia Playback

Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise auf private Daten zugreifen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) von Microsoft und ein anonymer Forscher

CoreText

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24182: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreUtils

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-31203: Uri Katz (Oligo Security)

Eintrag hinzugefügt am 28. April 2025

curl

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2024-9681

DiskArbitration

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Focus

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30439: Andr. Ess

Focus

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch Bereinigen der Protokollierung behoben.

CVE-2025-30447: LFY@secsys von der Fudan-Universität

Handoff

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Einschränkung des Zugriffs auf Datencontainer behoben.

CVE-2025-30463: mzzzz__

ImageIO

Auswirkung: Die Analyse eines Bildes kann zur Preisgabe von Benutzerinformationen führen

Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2025-24210: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

IOGPUFamily

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24257: Wang Yu von Cyberserval

Journal

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem Cross-Site-Scripting-Angriff führen.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2025-30434: Muhammad Zaid Ghifari (Mr.ZheeV) und Kalimantan Utara

Kernel

Auswirkung: Eine in böser Absicht erstellte App kann Versuche von Code-Eingaben auf einem gesperrten Gerät unternehmen und dadurch nach vier Fehlversuchen steigende Zeitverzögerungen verursachen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30432: Michael (Biscuit) Thomas –·@biscuit@social.lol

libarchive

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

CVE-2024-48958

libnetcore

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24194: Ein anonymer Forscher

libxml2

Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.

CVE-2025-27113

CVE-2024-56171

libxpc

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24178: Ein anonymer Forscher

libxpc

Auswirkung: Eine App kann möglicherweise Dateien löschen, für die sie keine Zugriffsrechte hat.

Beschreibung: Dieses Problem wurde durch eine verbesserte Verarbeitung von Symlinks behoben.

CVE-2025-31182: Alex Radocea und Dave G. von Supernetworks, 风沐云烟(@binary_fmyy) und Minghao Lin(@Y1nKoc)

libxpc

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24238: Ein anonymer Forscher

Logging

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) von Microsoft, Alexia Wilson von Microsoft, Christine Fossaceca von Microsoft

Eintrag hinzugefügt am 28. Mai 2025

Maps

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Logik behoben.

CVE-2025-30470: LFY@secsys von der Fudan University

MobileLockdown

Verfügbar für: iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (4. Generation und neuer), iPad (10. Generation und neuer) und iPad mini (6. Generation und neuer)

Auswirkung: Ein Angreifer mit einer USB-C-Verbindung zu einem gesperrten Gerät kann möglicherweise programmgesteuert auf Fotos zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Authentifizierung behoben.

CVE-2025-24193: Florian Draschbacher

NetworkExtension

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-30426: Jimmy

Photos

Auswirkung: Fotos im ausgeblendeten Fotoalbum können möglicherweise ohne Authentifizierung angezeigt werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30428: Jax Reissner

Photos

Auswirkung: Personen mit physischem Zugang zu einem iOS-Gerät können vom Sperrbildschirm aus auf Fotos zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30469: Dalibor Milanovic

Power Services

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Auswirkung: Eine Website kann möglicherweise die Same Origin Policy umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Eintrag hinzugefügt am 28. Mai 2025

Safari

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Das Problem wurde durch verbesserte UI behoben.

CVE-2025-24113: @RenwaX23

Safari

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30467: @RenwaX23

Safari

Auswirkung: Eine Website kann möglicherweise ohne Einwilligung des Benutzers auf Sensorinformationen zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-31192: Jaydev Ahire

Safari

Auswirkung: Der Ursprung eines Downloads wird möglicherweise falsch zugeordnet.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24167: Syarif Muhammad Sajjad

Sandbox Profiles

Auswirkung: Eine App kann möglicherweise eine persistente Geräte-ID lesen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24220: Wojciech Regula von SecuRing (wojciechregula.blog)

Eintrag hinzugefügt am 12. Mai 2025

Security

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2025-30471: Bing Shi, Wenchao Li Xiaolong Bai von der Alibaba Group, Luyi Xing von der Indiana University Bloomington

Share Sheet

Auswirkung: Eine bösartige Anwendung kann die Systembenachrichtigung auf dem Sperrbildschirm, dass eine Aufzeichnung gestartet wurde, ausblenden.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Auswirkung: Ein Kurzbefehl kann auf Dateien zugreifen, die normalerweise für die Kurzbefehle-App nicht zugänglich sind.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-30433: Andrew James Gonzalez

Siri

Auswirkung: Ein Angreifer kann möglicherweise Siri nutzen und damit „Anrufe automatisch annehmen“ aktivieren.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2025-30436: Abhay Kailasia (@abhay_kailasia) vom C-DAC Thiruvananthapuram India, Chi Yuan Chang von ZUSO ART und taikosoup

Eintrag hinzugefügt am 12. Mai 2025

Siri

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Einschränkung des Zugriffs auf Datencontainer behoben.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Datenschutzproblem wurde behoben, indem der Inhalt von Textfeldern nicht mehr protokolliert wird.

CVE-2025-24214: Kirin (@Pwnrin)

Siri

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24205: YingQi Shi (@Mas0nShi) von DBAppSecurity's WeBin Lab und Minghao Lin (@Y1nKoc)

Siri

Auswirkung: Ein Angreifer mit physischem Zugriff kann möglicherweise mithilfe von Siri auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2025-24198: Richard Hyunho Im (@richeeta) mit routezero.security

Web Extensions

Auswirkung: Eine App kann möglicherweise unbefugt auf das lokale Netzwerk zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) und Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Auswirkung: Durch den Besuch einer Website können vertrauliche Daten offengelegt werden.

Beschreibung: Ein Problem beim Importieren von Skripten wurde durch eine verbesserte Isolierung behoben.

CVE-2025-24192: Vsevolod Kokorin (Slonser) von Solidlab

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 285892

CVE-2025-24264: Gary Kwong und eine anonyme forschende Person

WebKit Bugzilla: 284055

CVE-2025-24216: Paul Bakker von ParagonERP

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 286462

CVE-2025-24209: Francisco Alonso (@revskills) und eine anonyme forschende Person

WebKit

Auswirkung: Das Laden eines in böswilliger Absicht erstellten iframe kann zu einem Cross-Site-Scripting-Angriff führen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

WebKit Bugzilla: 286381

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) und Kalimantan Utara

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 285643

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus „Privates Surfen“ aktiviert ist

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 286580

CVE-2025-30425: Ein anonymer Forscher

Zusätzliche Danksagung

Accessibility

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal, Indien, Andr.Ess, Richard Hyunho Im (@richeeta) bei routezero.security sowie Shane Gallagher für die Unterstützung bedanken.

Accounts

Wir möchten uns bei Bohdan Stasiuk (@bohdan_stasiuk) für die Unterstützung bedanken.

Apple Account

Wir möchten uns bei Byron Fecho für die Unterstützung bedanken.

FaceTime

Wir möchten uns bei Anonymous, Dohyun Lee (@l33d0hyun) von USELab, Korea University & Youngho Choi of CEL, Korea University & Geumhwan Cho von USELab, Korea University für die Unterstützung bedanken.

Find My

Wir möchten uns bei 神罚(@Pwnrin) für die Unterstützung bedanken.

Foundation

Wir möchten uns bei Jann Horn von Google Project Zero für die Unterstützung bedanken.

Handoff

Wir möchten uns bei Kirin und FlowerCode für die Unterstützung bedanken.

HearingCore

Wir möchten uns bei Kirin@Pwnrin und LFY@secsys von der Fudan University für die Unterstützung bedanken.

Home

Wir möchten uns bei Hasan Sheet für die Unterstützung bedanken.

ImageIO

Wir möchten uns bei D4m0n für die Unterstützung bedanken.

Mail

Wir möchten uns bei Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau von der The Chinese University of Hong Kong, K宝 und LFY@secsys von der Fudan University für die Unterstützung bedanken.

Messages

Wir möchten uns bei parkminchan von der Korea Univ für die Unterstützung bedanken. für die Unterstützung bedanken.

Notes

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal, Indien, für die Unterstützung bedanken.

Passwords

Wir möchten uns bei Stephan Davidson, Tim van Dijen von SimpleSAMLphp für die Unterstützung bedanken.

Photos

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von LNCT Bhopal und C-DAC Thiruvananthapuram India, Abhishek Kanaujia, Bistrit Dahal, Dalibor Milanovic, Himanshu Bharti, Srijan Poudel für die Unterstützung bedanken.

Photos Storage

Wir möchten uns bei Aakash Rayapur, Ahmed Mahrous, Bistrit Dahal, Finley Drewery, Henning Petersen, J T, Nilesh Mourya, Pradip Bhattarai, Pranav Bantawa und Pranay Bantawa, Sai Tarun Aili, Stephen J Lalremruata, Вячеслав Погорелов und einem anonymen Forscher für die Unterstützung bedanken.

Eintrag am 28. Mai 2025 aktualisiert

Safari

Wir möchten uns bei George Bafaloukas (george.bafaloukas@pingidentity.com) und Shri Hunashikatti (sshpro9@gmail.com) für die Unterstützung bedanken.

Safari Extensions

Wir möchten uns bei Alisha Ukani, Pete Snyder, Alex C. Snoeren für die Unterstützung bedanken.

Safari Private Browsing

Wir möchten uns bei Charlie Robinson für die Unterstützung bedanken.

Sandbox Profiles

Wir möchten uns bei Benjamin Hornbeck für die Unterstützung bedanken.

SceneKit

Wir möchten uns bei Marc Schoenefeld, Dr. rer. nat. für die Unterstützung bedanken.

Screen Time

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal, Indien, für die Unterstützung bedanken.

Security

Wir möchten uns bei Kevin Jones (GitHub) für die Unterstützung bedanken.

Settings

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von C-DAC Thiruvananthapuram India, Joaquin Ruano Campos, Lucas Monteiro für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Chi Yuan Chang von ZUSO ART und taikosoup und einem anonymen Forscher für die Unterstützung bedanken.

Siri

Wir möchten uns bei Lyutoon für die Unterstützung bedanken.

srd_tools

Wir möchten uns bei Joshua van Rijswijk, Michael Ogaga, Hitarth Shah für die Unterstützung bedanken.

Status Bar

Wir möchten uns bei J T, Richard Hyunho Im (@r1cheeta), Suraj Sawant für die Unterstützung bedanken.

Translations

Wir möchten uns bei K宝(@Pwnrin) für die Unterstützung bedanken.

Wallet

Wir möchten uns bei Aqib Imran für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Gary Kwong, Jesse Stolwijk, P1umer (@p1umer) und Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang und Daoyuan Wu von HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) von VXRL, Wong Wai Kin, Dongwei Xiao und Shuai Wang von HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) von VXRL., Xiangwei Zhang von Tencent Security YUNDING LAB, 냥냥 und einem anonymen Forscher für die Unterstützung bedanken.

Writing Tools

Wir möchten uns bei Richard Hyunho Im (@richeeta) von Route Zero Security für die Unterstützung bedanken.