Az iOS 18.7.2 és az iPadOS 18.7.2 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.7.2 és az iPadOS 18.7.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.7.2 és iPadOS 18.7.2

Kiadási dátum: 2025. november 5.

Accessibility

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43442: Zhongcheng Li (IES Red Team, ByteDance)

App Store

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43444: Zhongcheng Li (IES Red Team, ByteDance)

Audio

Érintett terület: Előfordulhat, hogy Mac számítógéppel társított, feloldott készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználók bizalmas információit a rendszernaplókban

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Érintett terület: Az alkalmazások még az előtt információt szerezhettek a kamera által aktuálisan látott dolgokról, hogy megkapták volna a kamerához a hozzáférést.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43450: Dennis Briner

CloudKit

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreText

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43445: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

Find My

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas adatok áthelyezésével megoldottuk az adatvédelmi problémát.

CVE-2025-43507: iisBuri

Installer

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43444: Zhongcheng Li (IES Red Team, ByteDance)

Kernel

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Mail

Érintett terület: Akkor is be lehetett tölteni távoli tartalmakat, ha a „Távoli képek betöltése” beállítás ki volt kapcsolva

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme From Khatima

MetricKit

Érintett terület: Előfordult, hogy jogosulatlan folyamatok a root folyamatok leállását okozták.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2025-43365: Minghao Lin (@Y1nKoc), Lyutoon (@Lyutoon_) és YingQi Shi (@Mas0n)

Model I/O

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43386: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43383: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43385: Michael DePlante (@izobashi, a Trend Micro Zero Day Initiative)

CVE-2025-43384: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-43377: BynarIO AI (bynar.io)

Notes

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el azt az adatvédelmi problémát.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2025-43439: Zhongcheng Li (IES Red Team, ByteDance)

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43493: @RenwaX23

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2025-43503: @RenwaX23

Shortcuts

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43499: anonim kutató

Siri

Hatás: Előfordulhat, hogy egy készüléket többé nem lehet zárolni

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43454: Joshua Thomas

Siri

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-43399: Kirin (@Pwnrin), Cristian Dinca (icmd.tech)

Spotlight

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2025-43418: Dalibor Milanovic

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri (a Trend Micro Zero Day Initiative közreműködőjeként)

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

it Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen (Google)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

WebKit Bugzilla: 299843

CVE-2025-43443: anonim kutató

WebKit

Érintett terület: Egy alkalmazás nyomon követhette a billentyűleütéseket a felhasználó engedélye nélkül.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit Canvas

Érintett terület: Előfordulhat, hogy egy webhely ki tudott szivárogtatni képadatokat különböző eredetekből

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

További köszönetnyilvánítás

Mail

Köszönjük egy anonim kutató segítségét.

Shortcuts

Köszönjük Andrew James Gonzalez segítségét.

WebKit

Köszönjük Enis Maholli (enismaholli.com, Google Big Sleep) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. november 10.