Az iOS 18.3 és az iPadOS 18.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.3 és az iPadOS 18.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.3 és iPadOS 18.3

Kiadási dátum: 2025. január 27.

Accessibility

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A feloldott készülékhez fizikai hozzáféréssel rendelkező támadók bizonyos esetekben akkor is hozzáférhettek a Fotókhoz, ha az alkalmazás zárolva volt.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India)

AirPlay

Érintett terület: A támadók folyamatmemória-sérülést tudtak előidézni a helyi hálózaton.

Leírás: Elhárítottunk egy bemenet-ellenőrzési hibát.

CVE-2025-24126: Uri Katz (Oligo Security)

Bejegyzés frissítve: 2025. április 28.

AirPlay

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24129: Uri Katz (Oligo Security)

Bejegyzés frissítve: 2025. április 28.

AirPlay

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24131: Uri Katz (Oligo Security)

Bejegyzés frissítve: 2025. április 28.

AirPlay

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2025-24177: Uri Katz (Oligo Security)

CVE-2025-24179: Uri Katz (Oligo Security)

Bejegyzés frissítve: 2025. április 28.

AirPlay

Érintett terület: A helyi hálózatra bejutó támadó bizonyos esetekben kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24137: Uri Katz (Oligo Security)

Bejegyzés frissítve: 2025. április 28.

ARKit

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, és Xingwei Lin, Zhejiang University

CoreAudio

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24123: Desmond, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-24124: Pwn2car és Rotiple (HyeongSeok Jang), a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 17.2 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2025-24085

CoreMedia Playback

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) és Lee Dong Ha (Who4mI)

Bejegyzés hozzáadva: 2025. május 16.

Display

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2025-24111: Wang Yu (Cyberserval)

Bejegyzés hozzáadva: 2025. május 12.

ImageIO

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24086: DongJun Kim (@smlijun) és JongSeong Kim (@nevul37), Enki WhiteHat, D4m0n

Kernel

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Bejegyzés hozzáadva: 2025. május 12.

Kernel

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24107: anonim kutató

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Libnotify

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Az appok rendszerértesítéseket tudtak utánozni. Az érzékeny értesítésekhez mostantól korlátozott jogosultságokra van szükség.

CVE-2025-24091: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Bejegyzés frissítve: 2025. április 30.

libxslt

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-55549: Ivan Fratric (Google Project Zero)

CVE-2025-24855: Ivan Fratric (Google Project Zero)

Bejegyzés frissítve: 2025. május 16.

Managed Configuration

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

PackageKit

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31262: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2025. május 16.

Passkeys

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetooth-hoz.

CVE-2024-9956: mastersplinter

Safari

Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31185: Jason Gendron (@gendron_jason), 이준성 (Junsung Lee)

Bejegyzés hozzáadva: 2025. május 16.

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-24128: @RenwaX23

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-24113: @RenwaX23

SceneKit

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-24149: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Time Zone

Érintett terület: Egyes alkalmazások képesek lehettek megtekinteni egy kontakt telefonszámát a rendszer naplóiban.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2025-24154: anonim kutató

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 284332

CVE-2025-24189: egy anonim kutató

Bejegyzés hozzáadva: 2025. május 16.

WebKit

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: A fájlrendszerhez való hozzáférés hatékonyabb korlátozásával küszöböltük ki a problémát.

WebKit Bugzilla: 283117

CVE-2025-24143: anonim kutató

WebKit

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF), NUS CuriOSity és P1umer (@p1umer), Imperial Global Singapore.

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy, HKUS3Lab és chluo, WHUSecLab

WebKit Web Inspector

Érintett terület: Az URL-címek Webvizsgálóból való kimásolása parancsbeszúrásra adhatott lehetőséget.

Leírás: A fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, LNCT Bhopal és C-DAC Thiruvananthapuram, India) segítségét.

AirPlay

Köszönjük Uri Katz (Oligo Security) segítségét.

Bejegyzés hozzáadva: 2025. április 28.

Audio

Köszönjük a Google Threat Analysis Group segítségét.

CoreAudio

Köszönjük a Google Threat Analysis Group segítségét.

Files

Szeretnénk megköszönni Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.

iCloud

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India), George Kovaios, Srijan Poudel segítségét.

Bejegyzés hozzáadva: 2025. május 16.

Notifications

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India), Xingjian Zhao (@singularity-s0) segítségét.

Passwords

Köszönjük Talal Haj Bakry és Tommy Mysk, Mysk Inc. @mysk_co segítségét.

Phone

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India) és egy anonim kutató segítségét.

Screenshots

Köszönjük Yannik Bloscheck (yannikbloscheck.com) segítségét.

Sleep

Köszönjük Abhay Kailasia (@abhay_kailasia, LNCT Bhopal és C-DAC Thiruvananthapuram, India) segítségét.

Static Linker

Köszönjük Holger Fuhrmannek segítségét.

VoiceOver

Köszönjük Bistrit Dahal, Dalibor Milanovic segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. május 23.