Az iOS 18.6 és az iPadOS 18.6 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.6 és az iPadOS 18.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.6 és iPadOS 18.6

Kiadási dátum: 2025. július 29., kedd

Accessibility

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy a VoiceOver hangosan felolvasta a jelkódot.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Érintett terület: A mikrofon- és kamera-hozzáférésre vonatkozó adatvédelmi jelzők bizonyos esetekben nem megfelelően jelentek meg.

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43186: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CFNetwork

Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2025-43223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CoreAudio

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott hangfájl memóriasérülést tudott okozni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43277: Google Threat Analysis Group

CoreMedia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2025-43230: Chi Yuan Chang (ZUSO ART) és taikosoup

ICU

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43209: Gary Kwong (a Trend Micro Zero Day Initiative közreműködőjeként)

ImageIO

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43226

libnetcore

Érintett terület: Egyes fájlok feldolgozása memóriasérülést tudott okozni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43202: Brian Carpenter

libxml2

Érintett terület: Egyes fájlok feldolgozása memóriasérülést tudott okozni.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.

CVE-2025-7425: Sergei Glazunov (Google Project Zero)

libxslt

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

CVE-2025-7424: Ivan Fratric (Google Project Zero)

Mail Drafts

Érintett terület: Előfordult, hogy akkor is betöltődtek távoli tartalmak, amikor a „Távoli képek betöltése” beállítás ki volt kapcsolva.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2025-43234: Vlad Stolyarov (Google Threat Analysis Group)

Model I/O

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43224: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

CVE-2025-43221: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Model I/O

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2025-31281: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

WebKit

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

WebKit Bugzilla: 294374

CVE-2025-43228: Jaydev Ahire

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 292888

CVE-2025-43227: Gilad Moav

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 291742

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit Bugzilla: 291745

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit Bugzilla: 293579

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 292599

CVE-2025-43214: shandikri a Trend Micro Zero Day Initiative közreműködőjeként, Google V8 Security Team

WebKit Bugzilla: 292621

CVE-2025-43213: Google V8 Security Team

WebKit Bugzilla: 293197

CVE-2025-43212: Nan Wang (@eternalsakura13) és Ziling Chen

WebKit

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 293730

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit

Érintett terület: A rosszindulatú webes tartalmak feldolgozásának hatására a rendszer bizonyos esetekben közzétette az alkalmazás belső állapotait.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

WebKit Bugzilla: 294182

CVE-2025-43265: HexRabbit (@h3xr4bb1t, a DEVCORE Research Team tagja)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 295382

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

WebKit Bugzilla: 296459

CVE-2025-6558: Clément Lecigne és Vlad Stolyarov (Google Threat Analysis Group)

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India), Hamza BHP, Himanshu Bharti (@Xpl0itme) segítségét.

Activation Lock

Köszönjük salemdomain segítségét.

Bluetooth

Köszönjük LIdong LI, Xiao Wang, Shao Dong Chen és Chao Tan (Source Guard) segítségét.

CoreAudio

Köszönjük Noah Weinberg segítségét.

Device Management

Köszönjük Al Karak segítségét.

libxml2

Köszönjük Sergei Glazunov (Google Project Zero) segítségét.

libxslt

Köszönjük Ivan Fratric (Google Project Zero) segítségét.

Managed Configuration

Köszönjük Bill Marczak (The Citizen Lab, The University of Toronto, Munk School) segítségét.

Photos

Köszönjük egy anonim kutató segítségét.

Safari

Köszönjük Ameen Basha M K segítségét.

Shortcuts

Köszönjük Dennis Kniep segítségét.

Siri

Köszönjük Timo Hetzel segítségét.

WebKit

Köszönjük a Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei, rheza (@ginggilBesel) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. augusztus 01.