Informacije o sigurnosnom sadržaju sustava iOS 18.5 i iPadOS 18.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18.5 i iPadOS 18.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18.5 i iPadOS 18.5

AppleJPEG

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31251: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Baseband

Dostupno za: iPhone 16e

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31214: 秦若涵, 崔志伟 i 崔宝江

Call History

Dostupno za: iPhone XS i novije uređaje

Učinak: povijest poziva iz izbrisanih aplikacija i dalje se može prikazivati u rezultatima pretraživanja u Spotlightu

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2025-31225: Deval Jariwala

Core Bluetooth

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31212: Guilherme Rambo (Best Buddy Apps (rambo.codes))

CoreAudio

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31208: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreGraphics

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-31209: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31239: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31233: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

FaceTime

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: utišavanjem mikrofona tijekom FaceTime poziva zvuk se možda neće utišati

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31253: Dalibor Milanovic

FaceTime

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim korisničkim sučeljem.

CVE-2025-31210: Andrew James Gonzalez

FrontBoard

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31207: YingQi Shi (@Mas0nShi) (DBAppSecurity's WeBin lab), Duy Trần (@khanhduytran0)

iCloud Document Sharing

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač bi mogao uključiti dijeljenje mape iCloud bez autentifikacije

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-30448: Dayton Pidhirney (Atredis Partners), Lyutoon i YenKoc

ImageIO

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31226: Saagar Jha

Kernel

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: udaljeni napadač mogao bi uzrokovati neočekivani pad sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31219: Michael DePlante (@izobashi) i Lucas Leong (@_wmliang_) iz inicijative Zero Day (Trend Micro)

Kernel

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: udaljeni napadači mogli su izazvati neočekivano zatvaranje aplikacije

Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31241: Christian Kohlschütter

libexpat

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: više problema koji se odnose na libexpat, uključujući neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-8176

Mail Addressing

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada e-pošte može dovesti do lažiranja korisničkog sučelja

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

mDNSResponder

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: korisnik bi si mogao povećati ovlasti

Opis: problem s točnošću riješen je poboljšanim provjerama.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Notes

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač s fizičkim pristupom uređaju mogao bi pristupiti bilješkama sa zaključanog zaslona

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2025-31228: Andr.Ess

Notes

Dostupno za: iPhone XS i novije uređaje

Učinak: napadač s fizičkim pristupom uređaju mogao bi pristupiti izbrisanoj snimci poziva

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31227: Shehab Khan

Pro Res

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31245: wac

Pro Res

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31234: CertiK (@CertiK)

Security

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: udaljeni napadač mogao bi otkriti memoriju

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31221: Dave G.

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: problem sa zamjenom vrsta mogao je dovesti do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem vrijednostima s plutajućim zarezom.

CVE-2025-24213: tim za sigurnost Google V8

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31223: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

CVE-2025-31238: wac i inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24223: rheza (@ginggilBesel) i anonimni istraživač

CVE-2025-31204: Nan Wang (@eternalsakura13)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31215: Jiming Wang i Jikai Ren

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2025-31206: anonimni istraživač

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31205: Ivan Fratric (Google Project Zero)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31257: Juergen Schmied (Lynck GmbH)

Dodatna zahvala

AirDrop

Na pomoći zahvaljujemo Daliboru Milanoviću.

Kernel

Na pomoći zahvaljujemo anonimnom istraživaču.

libnetcore

Na pomoći zahvaljujemo Hoffconi iz tima ByteDance IES Red.

Messages

Na pomoći zahvaljujemo Paulu Henriku Batisti Rosi de Castro (@paulohbrc).

MobileGestalt

Na pomoći zahvaljujemo iisBuriju.

MobileLockdown

Na pomoći zahvaljujemo Matthiasu Frielingsdorfu (@helthydriver) iz iVerifyja i anonimnom istraživaču.

NetworkExtension

Na pomoći zahvaljujemo korisniku Andrei-Alexandru Bleorțu.

Phone

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (C-DAC, Thiruvananthapuram, Indija).

Photos

Na pomoći zahvaljujemo Yusufu Kelanyju.

Safari

Na pomoći zahvaljujemo korisnicima Akash Labade, Narendra Bhati, voditelju kibernetičke sigurnosti u Suma Softu Pvt. Ltd, Pune (India) na pomoći.

Screenshots

Na pomoći zahvaljujemo anonimnom istraživaču.

Shortcuts

Na pomoći zahvaljujemo korisnicima Candace Jensen (Kandji), Chi Yuan Chang (ZUSO ART), taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud.

Siri Suggestions

Zahvaljujemo na pomoći Jakeu Derouinu (jakederouin.com).

Spotlight

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (C-DAC, Thiruvananthapuram, Indija).

WebKit

Na pomoći zahvaljujemo Mikeu Doughertyju i Danielu Whiteu (Google Chrome) te anonimnom istraživaču.