Tietoja iOS 18.5:n ja iPadOS 18.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 18.5:n ja iPadOS 18.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 18.5 ja iPadOS 18.5

AppleJPEG

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Baseband

Saatavuus: iPhone 16e

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31214: 秦若涵, 崔志伟 ja 崔宝江

Call History

Saatavuus: iPhone XS ja sitä uudemmat

Vaikutus: poistettujen appien puheluhistoria voi edelleen näkyä Spotlight-hakutuloksissa.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2025-31225: Deval Jariwala

Core Bluetooth

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31212: Guilherme Rambo (Best Buddy Apps, rambo.codes)

CoreAudio

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

FaceTime

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: mikrofonin mykistäminen FaceTime-puhelun aikana ei välttämättä hiljentänyt ääntä.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31253: Dalibor Milanovic

FaceTime

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

CVE-2025-31210: Andrew James Gonzalez

FrontBoard

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31207: YingQi Shi (@Mas0nShi, DBAppSecurity WeBin lab), Duy Trần (@khanhduytran0)

iCloud Document Sharing

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä pystyi mahdollisesti ottamaan iCloud-kansion jakamisen käyttöön ilman todentamista.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30448: Dayton Pidhirney (Atredis Partners) sekä nimimerkit Lyutoon ja YenKoc

ImageIO

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31226: Saagar Jha

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31219: Michael DePlante (@izobashi) ja Lucas Leong (@_wmliang_) (Trend Micro Zero Day Initiative)

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31241: Christian Kohlschütter

libexpat

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: useita libexpat-ongelmia, mukaan lukien apin odottamaton sulkeutuminen tai mielivaltaisen koodin suorittaminen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-8176

Mail Addressing

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: sähköpostin käsitteleminen saattoi johtaa käyttöliittymän väärentämiseen.

Kuvaus: annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

mDNSResponder

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Notes

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä käyttämään muistiinpanoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla todennusta.

CVE-2025-31228: Andr.Ess

Notes

Saatavuus: iPhone XS ja sitä uudemmat

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä käyttämään poistettua puhelutallennetta.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31227: Shehab Khan

Pro Res

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31245: wac

Pro Res

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31234: CertiK (@CertiK)

Security

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-31221: Dave G.

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: tyyppisekaannusongelma saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla liukulukujen käsittelyä.

CVE-2025-24213: Google V8 Security Team

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31223: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

CVE-2025-31238: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24223: rheza (@ginggilBesel) ja nimetön tutkija

CVE-2025-31204: Nan Wang (@eternalsakura13)

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31215: Jiming Wang ja Jikai Ren

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.

CVE-2025-31206: nimetön tutkija

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31205: Ivan Fratric (Google Project Zero)

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31257: Juergen Schmied (Lynck GmbH)

Kiitokset

AirDrop

Haluamme kiittää avusta Dalibor Milanovicia.

Kernel

Haluamme kiittää avusta nimetöntä tutkijaa.

libnetcore

Haluamme kiittää avusta Hoffconaa (ByteDance IES Red Team).

Messages

Haluamme kiittää avusta Paulo Henrique Batista Rosa de Castroa (@paulohbrc).

MobileGestalt

Haluamme kiittää avusta nimimerkkiä iisBuri.

MobileLockdown

Haluamme kiittää avusta Matthias Frielingsdorfia (@helthydriver, iVerify) ja nimetöntä tutkijaa.

NetworkExtension

Haluamme kiittää avusta Andrei-Alexandru Bleorțua.

Phone

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, C-DAC Thiruvananthapuram, Intia).

Photos

Haluamme kiittää avusta Yusuf Kelanya.

Safari

Haluamme kiittää avusta Akash Labadea ja Narendra Bhatia (Manager of Cyber Security, Suma Soft Pvt. Ltd, Pune (Intia)).

Screenshots

Haluamme kiittää avusta nimetöntä tutkijaa.

Shortcuts

Haluamme kiittää avusta Candace Jenseniä (Kandji), Chi Yuan Changia (ZUSO ART ja taikosoup), Egor Filatovia (Positive Technologies) sekä Monnier Pascaudia.

Siri Suggestions

Haluamme kiittää avusta Jake Derouinia (jakederouin.com).

Spotlight

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, C-DAC Thiruvananthapuram, Intia).

WebKit

Haluamme kiittää avusta Mike Doughertya ja Daniel Whiteä (Google Chrome) sekä nimetöntä tutkijaa.