מידע על תוכן האבטחה של iOS 18.3 ו-iPadOS 18.3
מסמך זה מתאר את תוכן האבטחה של iOS 18.3 ו-iPadOS 18.3.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
iOS 18.3 ו-iPadOS 18.3
הופץ ב-27 בינואר 2025
Accessibility
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף עם גישה פיזית למכשיר לא נעול עלול להצליח לגשת אל 'תמונות' בזמן שהיישום נעול
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) מ-C-DAC Thiruvananthapuram India
AirPlay
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף ברשת המקומית עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון תהליך
תיאור: טופלה בעיה באימות קלט.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף במיקום מורשה עלול להצליח לבצע מניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.
CVE-2025-24177: אורי כ"ץ (Oligo Security)
AirPlay
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu ו-Xingwei Lin מ-Zhejiang University
CoreAudio
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24123: Desmond יחד עם Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car ו-Rotiple (HyeongSeok Jang) יחד עם Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 17.2.
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2025-24085
ImageIO
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2025-24086: DongJun Kim (@smlijun) ו-JongSeong Kim (@nevul37) ב-Enki WhiteHat, D4m0n
Kernel
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2025-24107: חוקר אנונימי
Kernel
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Managed Configuration
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
Passkeys
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול לקבל גישה לא מורשית ל-Bluetooth
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-9956: mastersplinter
Safari
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: הבעיה טופלה על ידי הוספת לוגיקה.
CVE-2025-24128: @RenwaX23
Safari
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: הבעיה טופלה באמצעות ממשק משתמש משופר.
CVE-2025-24113: @RenwaX23
SceneKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-24149: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
אזור זמן
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להיות מסוגל להציג מספר טלפון של איש קשר ביומני מערכת
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2025-24145: Kirin (@Pwnrin)
WebContentFilter
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-24154: חוקר אנונימי
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: הבעיה טופלה בעזרת הגבלות גישה משופרות למערכת הקבצים.
WebKit Bugzilla: 283117
CVE-2025-24143: חוקר אנונימי
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) מ-NUS CuriOSity ו-P1umer (@p1umer) מ-Imperial Global Singapore.
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy מ-HKUS3Lab ו-chluo מ-WHUSecLab
WebKit Web Inspector
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: העתקת כתובת URL מ-Web Inspector עלולה לגרום להחדרת פקודה
תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.
WebKit Bugzilla: 283718
CVE-2025-24150: Johan Carlsson (joaxcar)
תודות נוספות
Accessibility
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-LNCT Bhopal ו-C-DAC Thiruvananthapuram India על הסיוע.
Audio
אנחנו מבקשים להודות ל-Google Threat Analysis Group על הסיוע.
CoreAudio
אנחנו מבקשים להודות ל-Google Threat Analysis Group על הסיוע.
CoreMedia Playback
אנחנו מבקשים להודות ל-Song Hyun Bae (@bshyuunn) ול-Lee Dong Ha (Who4mI) על הסיוע.
קבצים
אנחנו מבקשים להודות ל-Chi Yuan Chang מ-ZUSO ART ול-taikosoup על הסיוע.
Notifications
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India ול-Xingjian Zhao (@singularity-s0) על הסיוע.
Passwords
אנחנו מבקשים להודות ל-Talal Haj Bakry ול-Tommy Mysk מ-Mysk Inc. @mysk_co על הסיוע.
טלפון
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-C-DAC Thiruvananthapuram India ולחוקר אנונימי על הסיוע.
Screenshots
אנחנו מבקשים להודות ל-Yannik Bloscheck (yannikbloscheck.com) על הסיוע.
שינה
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-LNCT Bhopal ו-C-DAC Thiruvananthapuram India על הסיוע.
Static Linker
אנחנו מבקשים להודות ל-Holger Fuhrmannek על הסיוע.
VoiceOver
אנחנו מבקשים להודות ל-Bistrit Dahal ול-Dalibor Milanovic על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.