Az iOS 18.5 és az iPadOS 18.5 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.5 és az iPadOS 18.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.5 és iPadOS 18.5

AppleJPEG

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Baseband

A következőn érhető el: iPhone 16e

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31214: 秦若涵, 崔志伟 és 崔宝江

Call History

A következőkhöz érhető el: iPhone XS és újabb modellek

Érintett terület: Előfordult, hogy a törölt alkalmazások híváselőzményei továbbra is megjelentek a Spotlight keresési eredmények között.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2025-31225: Deval Jariwala

Core Bluetooth

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31212: Guilherme Rambo (Best Buddy Apps, rambo.codes)

CoreAudio

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy use-after-free (UAF) problémát.

CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

FaceTime

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A mikrofon némításakor FaceTime-hívás közben nem feltétlenül némul el a hang

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31253: Dalibor Milanovic

FaceTime

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-31210: Andrew James Gonzalez

FrontBoard

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31207: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab), Duy Trần (@khanhduytran0)

iCloud Document Sharing

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy a támadók hitelesítés nélkül be tudták kapcsolni az iCloud-mappa megosztását.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-30448: Dayton Pidhirney (Atredis Partners), Lyutoon és YenKoc

ImageIO

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31226: Saagar Jha

Kernel

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A távoli támadók bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31219: Michael DePlante (@izobashi) és Lucas Leong (@_wmliang_, Trend Micro Zero Day Initiative)

Kernel

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-31241: Christian Kohlschütter

libexpat

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Több probléma a libexpatban, beleértve a váratlan alkalmazásleállást vagy tetszőleges kód végrehajtását.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-8176

Mail Addressing

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Az e-mailek feldolgozásakor meghamisítható volt a felhasználói felület.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárult egy beszúrási probléma.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

mDNSResponder

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Notes

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről hozzá tudtak férni a jegyzetekhez

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2025-31228: Andr.Ess

Notes

A következőkhöz érhető el: iPhone XS és újabb modellek

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező támadók hozzá tudtak férni egy hívás törölt felvételéhez.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31227: Shehab Khan

Pro Res

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31245: wac

Pro Res

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31234: CertiK (@CertiK)

Security

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Távoli támadók képesek lehettek memóriaszivárgások előidézésére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-31221: Dave G.

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy egy típustévesztés memóriasérülést idézett elő.

Leírás: A floatok hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-24213: Google V8 Security Team

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CVE-2025-31238: wac a Trend Micro Zero Day Initiative közreműködőjeként

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24223: rheza (@ginggilBesel) és egy anonim kutató

CVE-2025-31204: Nan Wang (@eternalsakura13)

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31215: Jiming Wang és Jikai Ren

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-31206: anonim kutató

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31205: Ivan Fratric (Google Project Zero)

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31257: Juergen Schmied (Lynck GmbH)

További köszönetnyilvánítás

AirDrop

Köszönjük Dalibor Milanovic segítségét.

Kernel

Köszönjük egy anonim kutató segítségét.

libnetcore

Köszönjük Hoffcona (ByteDance IES Red Team) segítségét.

Messages

Köszönjük Paulo Henrique Batista Rosa de Castro (@paulohbrc) segítségét.

MobileGestalt

Köszönjük iisBuri segítségét.

MobileLockdown

Köszönjük Matthias Frielingsdorf (@helthydriver, iVerify) és egy anonim kutató segítségét.

NetworkExtension

Köszönjük Andrei-Alexandru Bleorțu segítségét.

Phone

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India) segítségét.

Photos

Köszönjük Yusuf Kelany segítségét.

Safari

Köszönjük Akash Labade, Narendra Bhati, a Suma Soft Pvt. Ltd. (Pune, India) kiberbiztonsági vezetőjének segítségét.

Screenshots

Köszönjük egy anonim kutató segítségét.

Shortcuts

Köszönjük Candace Jensen (Kandji), Chi Yuan Chang (ZUSO ART) és taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud segítségét.

Siri Suggestions

Köszönjük Jake Derouin (jakederouin.com) segítségét.

Spotlight

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India) segítségét.

WebKit

Köszönjük Mike Dougherty és Daniel White (Google Chrome), valamint egy anonim kutató segítségét.