Tietoja iOS 18.4:n ja iPadOS 18.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 18.4:n ja iPadOS 18.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 18.4 ja iPadOS 18.4

Julkaistu 31.3.2025

Accessibility

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-24202: Zhongcheng Li (ByteDancen IES Red Team)

Accounts

Vaikutus: arkaluontoisiin avainnipputietoihin saattoi päästä käsiksi iOS-varmuuskopiosta.

Kuvaus: ongelma on ratkaistu parantamalla tietojen käyttöoikeusrajoitusta.

CVE-2025-24221: Lehan Dilusha (@zafer) ja nimetön tutkija

Kohta päivitetty 28.5.2025

AirDrop

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisten tiedostojen metatietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH)

AirPlay

Vaikutus: valtuuttamaton käyttäjä samassa verkossa kuin sisäänkirjautunut Mac saattoi lähettää sille AirPlay-komentoja ilman laiteparin muodostamista.

Kuvaus: käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.

CVE-2025-24271: Uri Katz (Oligo Security)

Kohta lisätty 28.4.2025

AirPlay

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-24270: Uri Katz (Oligo Security)

Kohta lisätty 28.4.2025

AirPlay

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2025-31202: Uri Katz (Oligo Security)

Kohta lisätty 28.4.2025

AirPlay

Vaikutus: hyökkääjä paikallisessa verkossa saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-24252: Uri Katz (Oligo Security)

Kohta lisätty 28.4.2025

AirPlay

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä ohittamaan todentamiskäytännön.

Kuvaus: valtuutusongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24206: Uri Katz (Oligo Security)

Kohta lisätty 28.4.2025

AirPlay

Vaikutus: hyökkääjä paikallisessa verkossa saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30445: Uri Katz (Oligo Security)

Kohta lisätty 28.4.2025

AirPlay

Vaikutus: hyökkääjä paikallisessa verkossa saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

Kohta lisätty 28.4.2025

Audio

Vaikutus: appi saattoi pystyä ohittamaan ASLR:n.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Kohta lisätty 29.7.2025

Audio

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Authentication Services

Vaikutus: salasanan automaattinen täyttö saattoi täyttää salasanoja todennuksen epäonnistuttua.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30430: Dominik Rath

Authentication Services

Vaikutus: haitallinen verkkosivusto saattoi pystyä hakemaan WebAuthn-kirjautumistiedot toiselta verkkosivustolta, jolla on sama rekisteröitävä jälkiliite.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-24180: Martin Kreichgauer (Google Chrome)

BiometricKit

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Kohta päivitetty 28.5.2025

Calendar

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Vaikutus: haitallisen äänitiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-31196: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kohta lisätty 28.5.2025

CoreMedia

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24211: Hossein Lotfi (@hosselot, Trend Micron Zero Day Initiative)

CoreMedia

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft) ja nimetön tutkija

CoreText

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-31203: Uri Katz (Oligo Security)

Kohta lisätty 28.4.2025

curl

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-9681

DiskArbitration

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Focus

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30439: Andr.Ess

Focus

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.

CVE-2025-30447: LFY@secsys (Fudan-yliopisto)

Handoff

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.

CVE-2025-30463: mzzzz__

ImageIO

Vaikutus: kuvan jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2025-24210: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

IOGPUFamily

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-24257: Wang Yu (Cyberserval)

Journal

Vaikutus: haitallisen tiedoston käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-30434: Muhammad Zaid Ghifari (Mr.ZheeV) ja Kalimantan Utara

Kernel

Vaikutus: haitallinen appi saattoi pystyä kokeilemaan pääsykoodisyöttöjä lukitussa laitteessa ja näin aiheuttamaan yltyviä aikaviiveitä neljän epäonnistumisen jälkeen.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-30432: Michael (Biscuit) Thomas (@biscuit@social.lol)

libarchive

Vaikutus: syötteen vahvistusongelma on korjattu.

CVE-2024-48958

libnetcore

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24194: nimetön tutkija

libxml2

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

CVE-2025-27113

CVE-2024-56171

libxpc

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24178: nimetön tutkija

libxpc

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-31182: Alex Radocea ja Dave G. (Supernetworks), 风沐云烟(@binary_fmyy) ja Minghao Lin(@Y1nKoc)

libxpc

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24238: nimetön tutkija

Logging

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft), Alexia Wilson (Microsoft), Christine Fossaceca (Microsoft)

Kohta lisätty 28.5.2025

Maps

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2025-30470: LFY@secsys (Fudan-yliopisto)

MobileLockdown

Saatavuus: iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (4. sukupolvi ja uudemmat), iPad (10. sukupolvi ja uudemmat) ja iPad mini (6. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä, jolla on USB-C-yhteys lukitsemattomaan laitteeseen, saattoi pystyä käyttämään kuvia ohjelmallisesti.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2025-24193: Florian Draschbacher

NetworkExtension

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30426: Jimmy

Photos

Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30428: Jax Reissner

Photos

Vaikutus: henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää kuvia lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30469: Dalibor Milanovic

Power Services

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Vaikutus: verkkosivusto saattoi pystyä ohittamaan saman alkuperän käytännön.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Kohta lisätty 28.5.2025

Safari

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

CVE-2025-24113: @RenwaX23

Safari

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30467: @RenwaX23

Safari

Vaikutus: Verkkosivusto saattoi pystyä käyttämään tunnistintietoja ilman käyttäjän lupaa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31192: Jaydev Ahire

Safari

Vaikutus: latauksen alkuperä saatettiin liittää virheellisesti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24167: Syarif Muhammad Sajjad

Sandbox Profiles

Vaikutus: appi saattoi pystyä lukemaan pysyvän laitetunnisteen

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24220: Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 12.5.2025

Security

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai (Alibaba Group), Luyi Xing (Indianan yliopisto, Bloomington)

Share Sheet

Vaikutus: haitallinen appi saattoi pystyä ohittamaan järjestelmän ilmoituksen nauhoituksen aloittamisesta lukitulla näytöllä.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-30438: Halle Winkler (Politepix, theoffcuts.org)

Shortcuts

Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-30433: Andrew James Gonzalez

Siri

Vaikutus: hyökkääjä saattoi pystyä ottamaan Vastaa automaattisesti ‑ominaisuuden käyttöön Sirin avulla.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2025-30436: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India), Chi Yuan Chang (ZUSO ART) ja taikosoup

Kohta lisätty 12.5.2025

Siri

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu jättämällä tekstikenttien sisältö kirjaamatta.

CVE-2025-24214: Kirin (@Pwnrin)

Siri

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2025-24205: YingQi Shi(@Mas0nShi, DBAppSecurity's WeBin lab) ja Minghao Lin (@Y1nKoc)

Siri

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2025-24198: Richard Hyunho Im (@richeeta) yhteistyössä routezero.securityn kanssa

Web Extensions

Vaikutus: appi saattoi saada pääsyn lähiverkkoon luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze, SEEMOO, TU Darmstadt), Mathy Vanhoef (@vanhoefm) ja Jeroen Robben (@RobbenJeroen, DistriNet, KU Leuven)

Web Extensions

Vaikutus: verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: komentosarjan tuontiongelma on ratkaistu parantamalla eristystä.

CVE-2025-24192: Vsevolod Kokorin (Slonser, Solidlab)

WebKit

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 285892

CVE-2025-24264: Gary Kwong ja nimetön tutkija

WebKit Bugzilla: 284055

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 286462

CVE-2025-24209: Francisco Alonso (@revskills) ja nimetön tutkija

WebKit

Vaikutus: haitallisen iframen lataaminen saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

WebKit Bugzilla: 286381

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) ja Kalimantan Utara

WebKit

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 285643

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Vaikutus: haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 286580

CVE-2025-30425: nimetön tutkija

Kiitokset

Accessibility

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal, Intia), Andr.Essiä, Richard Hyunho Imiä (@richeeta, routezero.security) ja Shane Gallagheriä.

Accounts

Haluamme kiittää avusta Bohdan Stasiukia (@bohdan_stasiuk).

Apple Account

Haluamme kiittää avusta Byron Fechoa.

FaceTime

Haluamme kiittää avusta nimetöntä, Dohyun Leetä (@l33d0hyun, USELab, Korea University), Youngho Choita (CEL, Korea University) ja Geumhwan Chota (USELab, Korea University).

Find My

Haluamme kiittää avusta henkilöä 神罚(@Pwnrin).

Foundation

Haluamme kiittää Google Project Zeron Jann Hornia hänen avustaan.

Handoff

Haluamme kiittää avusta Kiriniä ja FlowerCodea.

HearingCore

Haluamme kiittää avusta Kiriniä (@Pwnrin) ja nimimerkkiä LFY@secsys (Fudan-yliopisto).

Home

Haluamme kiittää avusta Hasan Sheetiä.

ImageIO

Haluamme kiittää avusta D4m0nia.

Mail

Haluamme kiittää avusta Doria Tangia, Ka Lok Wuta, Prof. Sze Yiu Chauta (Hongkongin kiinalainen yliopisto), henkilöitä K宝 ja LFY@secsys (Fudan-yliopisto).

Messages

Haluamme kiittää avusta parkminchania (Korean yliopisto).

Notes

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

Passwords

Haluamme kiittää avusta Stephan Davidsonia ja Tim van Dijeniä (SimpleSAMLphp).

Photos

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, LNCT Bhopal ja C-DAC Thiruvananthapuram India), Abhishek Kanaujiaa, Bistrit Dahalia, Dalibor Milanovicia, Himanshu Bhartia ja Srijan Poudelia.

Photos Storage

Haluamme kiittää avusta Aakash Rayapuria, Ahmed Mahrousia, Bistrit Dahalia, Finley Dreweryä, Henning Peterseniä, J T, Nilesh Mouryaa, Pradip Bhattaraita, Pranav Bantawaa, Pranay Bantawaa, Sai Tarun Ailia, Stephen J Lalremruataa, Вячеслав Погореловia ja nimetöntä tutkijaa.

Kohta päivitetty 28.5.2025

Safari

Haluamme kiittää avusta George Bafaloukasia (george.bafaloukas@pingidentity.com) ja Shri Hunashikattia (sshpro9@gmail.com).

Safari Extensions

Haluamme kiittää avusta Alisha Ukania, Pete Snyderia ja Alex C. Snoerenia.

Safari Private Browsing

Haluamme kiittää avusta Charlie Robinsonia.

Sandbox Profiles

Haluamme kiittää avusta Benjamin Hornbeckia.

SceneKit

Haluamme kiittää nat. Marc Schoenefeldia

Screen Time

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

Security

Haluamme kiittää avusta Kevin Jonesia (GitHub).

Settings

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, C-DAC Thiruvananthapuram India), Joaquin Ruano Camposia ja Lucas Monteiroa.

Shortcuts

Haluamme kiittää avusta Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup sekä nimetöntä tutkijaa.

Siri

Haluamme kiittää avusta Lyutoonia.

srd_tools

Haluamme kiittää avusta Joshua van Rijswijkiä, Micheal Ogagaa ja Hitarth Shahia.

Status Bar

Haluamme kiittää avusta JT:tä, Richard Hyunho Imiä (@r1cheeta) ja Suraj Sawantia.

Translations

Haluamme kiittää nimimerkkiä K宝 (@Pwnrin) hänen antamastaan avusta.

Wallet

Haluamme kiittää avusta Aqib Imrania.

WebKit

Haluamme kiittää avusta Gary Kwongia, Jesse Stolwijkiä, nimimerkkejä P1umer (@p1umer) ja Q1IQ (@q1iqF), Wai Kin Wongia, Dongwei Xiaoa, Shuai Wangia Daoyuan Wuta (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL), Wong Wai Kiniä, Dongwei Xiaoa ja Shuai Wangia (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL), Xiangwei Zhangia (Tencent Security YUNDING LAB), nimimerkkiä 냥냥 ja nimetöntä tutkijaa.

Writing Tools

Haluamme kiittää avusta Richard Hyunho Imiä (@richeeta) yhteistyössä Route Zero Securityn kanssa.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 4. elokuuta 2025