Informacije o sigurnosnom sadržaju sustava iOS 18.6 i iPadOS 18.6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18.6 i iPadOS 18.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18.6 i iPadOS 18.6

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: VoiceOver može naglas pročitati šifru

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: indikatori privatnosti za mikrofon i kameru možda se neće ispravno prikazati

Opis: problem je riješen dodavanje dodatne logike.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43186: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CFNetwork

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: korisnik bez ovlasti mogao bi izmijeniti ograničene mrežne postavke

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43223: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

CoreAudio

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne audiodatoteke može uzrokovati oštećenje memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43277: Googleov tim Threat Analysis Group

CoreMedia

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43210: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia Playback

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2025-43230: Chi Yuan Chang (ZUSO ART) i taikosoup

ICU

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43209: Gary Kwong i inicijativa Zero Day (Trend Micro)

ImageIO

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43226

libnetcore

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43202: Brian Carpenter

libxml2

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID oznaku pronađite na cve.org.

CVE-2021-30799: Sergei Glazunov (Google Project Zero)

libxslt

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-7424: Ivan Fratric (Google Project Zero)

Mail Drafts

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: udaljeni sadržaj može se učitati čak i kad je isključena postavka „Učitaj udaljene slike”

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjerne teksture moglo je doći do neočekivanog zatvaranja aplikacije

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43234: Vlad Stolyarov iz Googleova tima Threat Analysis Group

Model I/O

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43224: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2025-43221: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

Model I/O

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2025-31281: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem je riješen poboljšanim korisničkim sučeljem.

CVE-2025-43228: Jaydev Ahire

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-43227: Gilad Moav

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43214: shandikri i inicijativa Zero Day (Trend Micro), tim za sigurnost Google V8

CVE-2025-43213: tim za sigurnost Google V8

CVE-2025-43212: Nan Wang (@eternalsakura13) i Ziling Chen

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjernog web-sadržaja može otkriti interna stanja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) iz istraživačkog tima DEVCORE

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID oznaku pronađite na cve.org.

CVE-2025-6558: Clément Lecigne i Vlad Stolyarov iz Googleova tima Threat Analysis Group

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo korisnicima Abhay Kailasi (@abhay_kailasia) (C-DAC Thiruvananthapuram Indija), Hamza BHP, Himanshu Bharti (@Xpl0itme).

Activation Lock

Na pomoći zahvaljujemo salemdomainu.

Bluetooth

Na pomoći zahvaljujemo korisnicima LIdong LI, Xiao Wang, Shao Dong Chen i Chao Tan (Source Guard).

CoreAudio

Na pomoći zahvaljujemo Noahu Weinbergu.

Device Management

Na pomoći zahvaljujemo Alu Karaku.

libxml2

Na pomoći zahvaljujemo Sergeiju Glazunovu iz tima Google Project Zero.

libxslt

Željeli bismo zahvaliti·Ivanu Fratricu (Google Project Zero) na pomoći.

Managed Configuration

Na pomoći zahvaljujemo Billu Marczaku (The Citizen Lab, Munk School Sveučilišta u Torontu).

Photos

Na pomoći zahvaljujemo anonimnom istraživaču.

Safari

Na pomoći zahvaljujemo Ameenu Bashi M K.

Shortcuts

Na pomoći zahvaljujemo Dennisu Kniepu.

Siri

Na pomoći zahvaljujemo Timou Hetzelu.

WebKit

Na pomoći zahvaljujemo timu za sigurnost Google V8 i korisnicima Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei, rheza (@ginggilBesel).