Az iOS 18.4 és az iPadOS 18.4 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.4 és az iPadOS 18.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.4 és iPadOS 18.4

Kiadás dátuma: 2025. március 31.

Accessibility

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-24202: Zhongcheng Li, IES Red Team, ByteDance

Accounts

Érintett terület: Érzékeny kulcskarikaadatokhoz férhettek hozzá iOS biztonsági mentésből.

Leírás: Hatékonyabb adathozzáférési korlátozással hárítottuk el a problémát.

CVE-2025-24221: Lehan Dilusha (@zafer) és egy anonim kutató

Bejegyzés frissítve: 2025. május 28.

AirDrop

Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlmetaadatokat beolvasni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH)

AirPlay

Érintett terület: Egy olyan hálózaton, amelyre egy bejelentkezett Mac is csatlakozik, nem hitelesített felhasználók párosítás nélkül küldhettek AirPlay-parancsokat.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2025-24271: Uri Katz (Oligo Security)

Bejegyzés hozzáadva: 2025. április 28.

AirPlay

Érintett terület: A támadók ki tudtak szivárogtatni bizalmas jellegű információkat a helyi hálózaton.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-24270: Uri Katz (Oligo Security)

Bejegyzés hozzáadva: 2025. április 28.

AirPlay

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2025-31202: Uri Katz (Oligo Security)

Bejegyzés hozzáadva: 2025. április 28.

AirPlay

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-24252: Uri Katz (Oligo Security)

Bejegyzés hozzáadva: 2025. április 28.

AirPlay

Érintett terület: A támadók megkerülhették a hitelesítési szabályzatokat a helyi hálózaton.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-24206: Uri Katz (Oligo Security)

Bejegyzés hozzáadva: 2025. április 28.

AirPlay

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-30445: Uri Katz (Oligo Security)

Bejegyzés hozzáadva: 2025. április 28.

AirPlay

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

Bejegyzés hozzáadva: 2025. április 28.

Audio

Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Bejegyzés hozzáadva: 2025. július 29.

Audio

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Authentication Services

Érintett terület: Az automatikus jelszókitöltő funkció időnként kitöltötte a jelszót, miután sikertelen volt a hitelesítés

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30430: Dominik Rath

Authentication Services

Érintett terület: Előfordulhatott, hogy egy rosszindulatú webhely képes volt WebAuthn hitelesítő adatokat igényelni egy másol webhelytől, amely regisztrálható utótagot oszt meg.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-24180: Martin Kreichgauer (Google Chrome)

BiometricKit

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Bejegyzés frissítve: 2025. május 28.

Calendar

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Érintett terület: Előfordult, hogy egy ártó szándékkal készített hangfájl lejátszásakor váratlan alkalmazásleállásra került sor

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-31196: wac a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva: 2025. május 28.

CoreMedia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24211: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

CoreMedia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft) és egy anonim kutató

CoreText

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-31203: Uri Katz (Oligo Security)

Bejegyzés hozzáadva: 2025. április 28.

curl

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-9681

DiskArbitration

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Focus

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30439: Andr.Ess

Focus

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A naplózás megtisztításával orvosoltuk a problémát

CVE-2025-30447: LFY@secsys (Fudan University)

Handoff

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adattárolókhoz való hozzáférés hatékonyabb korlátozásával orvosoltuk a problémát.

CVE-2025-30463: mzzzz__

ImageIO

Érintett terület: A képek elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2025-24210: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

IOGPUFamily

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2025-24257: Wang Yu (Cyberserval)

Journal

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-30434: Muhammad Zaid Ghifari (Mr.ZheeV) és Kalimantan Utara

Kernel

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak megkísérelni a jelkódos hozzáférést egy zárolt eszközhöz, amellyel egyre fokozódó időbeli késleltetést okoztak 4 meghiúsult kísérlet után

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

CVE-2024-48958

libnetcore

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24194: anonim kutató

libxml2

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

CVE-2025-27113

CVE-2024-56171

libxpc

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24178: anonim kutató

libxpc

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-31182: Alex Radocea és Dave G. (Supernetworks), 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

libxpc

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24238: anonim kutató

Logging

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-31199: Jonathan Bar vagy (@yo_yo_yo_jbo, Microsoft), Alexia Wilson (Microsoft), Christine Fossaceca (Microsoft)

Bejegyzés hozzáadva: 2025. május 28.

Maps

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30470: LFY@secsys (Fudan University)

MobileLockdown

A következőkön érhető el: 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 4. generációs és újabb iPad Air, 10. generációs és újabb iPad, 6. generációs és újabb iPad mini

Érintett terület: A nem zárolt eszközökhöz USB-C-kapcsolattal rendelkező támadók esetenként képesek voltak a fotók programozott hozzáférésére

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2025-24193: Florian Draschbacher

NetworkExtension

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-30426: Jimmy

Photos

Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30428: Jax Reissner

Photos

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a fényképekhez

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30469: Dalibor Milanovic

Power Services

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Érintett terület: Egyes webhelyek megkerülhetik a Same Origin szabályzatot.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Bejegyzés hozzáadva: 2025. május 28.

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-24113: @RenwaX23

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30467: @RenwaX23

Safari

Érintett terület: A webhelyek adott esetben felhasználói jóváhagyás nélkül is hozzá tudtak férni az érzékelő adataihoz.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31192: Jaydev Ahire

Safari

Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24167: Syarif Muhammad Sajjad

Sandbox Profiles

Érintett terület: Előfordult, hogy egy alkalmazás olvasni tudta az állandó készülékazonosítókat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24220: Wojciech Regula (SecuRing, wojciechregula.blog)

Bejegyzés hozzáadva: 2025. május 12.

Security

Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-30471: Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)

Share Sheet

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak bezárni a zárolt képernyőn megjelenő, folyamatban lévő felvételkészítésre figyelmeztető rendszerértesítést

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Érintett terület: Előfordult, hogy egy billentyűparanccsal hozzá lehetett férni olyan fájlokhoz, amelyek normál esetben nem érhetők el a Parancsok appal

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30433: Andrew James Gonzalez

Siri

Érintett terület: A támadók Siri segítségével engedélyezhették a hívások automatikus fogadását.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2025-30436: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India), Chi Yuan Chang (ZUSO ART) és taikosoup

Bejegyzés hozzáadva: 2025. május 12.

Siri

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adattárolókhoz való hozzáférés hatékonyabb korlátozásával orvosoltuk a problémát.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adatvédelmi problémát úgy küszöböltük ki, hogy a továbbiakban nem naplózzuk a szöveges mezők tartalmát.

CVE-2025-24214: Kirin (@Pwnrin)

Siri

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-24205: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab) és Minghao Lin (@Y1nKoc)

Siri

Érintett terület: Siri segítségével a fizikai hozzáféréssel rendelkező támadók hozzá tudtak férni bizalmas felhasználói adatokhoz

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2025-24198: Richard Hyunho Im (@richeeta, routezero.security)

Web Extensions

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a helyi hálózathoz.

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt és Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen, DistriNet, KU Leuven)

Web Extensions

Érintett terület: Előfordult, hogy webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Hatékonyabb elkülönítéssel hárítottunk el egy szkriptimportálási hibát.

CVE-2025-24192: Vsevolod Kokorin (Slonser, Solidlab)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 285892

CVE-2025-24264: Gary Kwong és egy anonim kutató

WebKit Bugzilla: 284055

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

WebKit Bugzilla: 286462

CVE-2025-24209: Francisco Alonso (@revskills) és egy anonim kutató

WebKit

Érintett terület: Egy rosszindulatú iframe betöltése webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

WebKit Bugzilla: 286381

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) és Kalimantan Utara

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 285643

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 286580

CVE-2025-30425: anonim kutató

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia), Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Richard Hyunho Im (@richeeta), routezero.security és shane gallagher segítségét.

Accounts

Köszönjük Bohdan Stasiuk (@bohdan_stasiuk) segítségét.

Apple Account

Köszönjük Byron Fecho segítségét.

FaceTime

Köszönjük Anonymous, Dohyun Lee (@l33d0hyun), USELab, Korea University; Youngho Choi, CEL, Korea University; Geumhwan Cho, USELab, Korea University segítségét.

Find My

Köszönjük 神罚 (@Pwnrin) segítségét.

Foundation

Köszönjük Jann Horn (Google Project Zero) segítségét.

Handoff

Köszönjük Kirin és FlowerCode segítségét.

HearingCore

Köszönjük Kirin@Pwnrin és LFY@secsys (Fudan University) segítségét.

Home

Köszönjük Hasan Sheet segítségét.

ImageIO

Köszönjük D4m0n segítségét.

Mail

Köszönjük Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau (The Chinese University of Hong Kong), K宝 és LFY@secsys (Fudan University) segítségét.

Messages

Köszönjük parkminchan (Korea Univ.) segítségét.

Notes

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopal, India) segítségét.

Passwords

Köszönjük Stephan Davidson, Tim van Dijen, SimpleSAMLphp segítségét.

Photos

Köszönjük Abhay Kailasia (@abhay_kailasia), LNCT Bhopal és C-DAC Thiruvananthapuram India, Abhishek Kanaujia, Bistrit Dahal, Dalibor Milanovic, Himanshu Bharti és Srijan Poudel segítségét.

Photos Storage

Köszönjük Aakash Rayapur, Ahmed Mahrous, Bistrit Dahal, Finley Drewery, Henning Petersen, J T, Nilesh Mourya, Pradip Bhattarai, Pranav Bantawa és Pranay Bantawa, Sai Tarun Aili, Stephen J Lalremruata, Вячеслав Погорелов és egy anonim kutató segítségét.

Bejegyzés frissítve: 2025. május 28.

Safari

Köszönjük George Bafaloukas (george.bafaloukas@pingidentity.com) és Shri Hunashikatti (sshpro9@gmail.com) segítségét.

Safari Extensions

Köszönjük Alisha Ukani, Pete Snyder és Alex C. Snoeren segítségét.

Safari Private Browsing

Köszönjük Charlie Robinson segítségét.

Sandbox Profiles

Köszönjük Benjamin Hornbeck segítségét.

SceneKit

Köszönjük Marc Schoenefeld, Dr. rer. nat. segítségét.

Screen Time

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopal, India) segítségét.

Security

Köszönjük Kevin Jones (GitHub) segítségét.

Settings

Köszönjük Abhay Kailasia (@abhay_kailasia), C-DAC Thiruvananthapuram India, Joaquin Ruano Campos és Lucas Monteiro segítségét.

Shortcuts

Köszönjük Chi Yuan Chang (ZUSO ART), taikosoup és egy anonim kutató segítségét.

Siri

Köszönjük Lyutoon segítségét.

srd_tools

Köszönjük oshua van Rijswijk, Micheal ogaga és hitarth shah segítségét.

Status Bar

Köszönjük J T, Richard Hyunho Im (@r1cheeta) és Suraj Sawant segítségét.

Translations

Köszönjük K宝 (@Pwnrin) segítségét.

Wallet

Köszönjük Aqib Imran segítségét.

WebKit

Köszönjük Gary Kwong, Jesse Stolwijk, P1umer (@p1umer) és Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang és Daoyuan Wu, HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014), VXRL, Wong Wai Kin, Dongwei Xiao és Shuai Wang, HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014), VXRL., Xiangwei Zhang, Tencent Security YUNDING LAB, 냥냥és egy anonim kutató segítségét.

Writing Tools

Köszönjük Richard Hyunho Im (@richeeta, Route Zero Security) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. augusztus 04.