Az iOS 18.7.3 és iPadOS 18.7.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.7.3 és iPadOS 18.7.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.7.3 és iPadOS 18.7.3

Kiadás dátuma: 2025. december 12.

AppleJPEG

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Call History

Érintett terület: Egy támadó képes lehetett meghamisítani a FaceTime hívóazonosítóját

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2025-46287: anonim kutató, Riley Walz

curl

Érintett terület: Több hiba is fennállt a curl esetén.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-7264

CVE-2025-9086

FaceTime

Érintett terület: A jelszómezők véletlenül láthatóvá válhattak, amikor valaki távolról irányított egy eszközt FaceTime-on keresztül

Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2025-43542: Yiğit Ocak

Foundation

Érintett terület: A rosszindulatú adatok feldolgozása váratlan alkalmazásleálláshoz vezethetett

Leírás: Hatékonyabb határérték-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2025-43532: Andrew Calvano és Lucas Pinheiro (Meta Product Security)

Icons

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43512: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

Kernel

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Kiküszöböltünk egy egészszám-túlcsordulást 64 bites időbélyegek használatával.

CVE-2025-46285: Kaitao Xie és Xiaolong Bai (Alibaba Group)

libarchive

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

CVE-2025-5918

Üzenetek

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az adatvédelmi ellenőrzések fejlesztésével megoldottuk az információmegjelenítési problémát.

CVE-2025-46276: Rosyna Keller (Totally Not Malicious Software)

Képernyőidő

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43538: Iván Savransky

Beállítások

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43530: Mickey Jin (@patch1t)

Telephony

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-46292: Rosyna Keller (Totally Not Malicious Software)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 300774

CVE-2025-43535: Nan Wang (@eternalsakura13), Google Big Sleep

Bejegyzés frissítve: 2025. december 17.

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

WebKit Bugzilla: 301257

CVE-2025-43541: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

WebKit Bugzilla: 301371

CVE-2025-43501: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 301726

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

WebKit Bugzilla: 301940

CVE-2025-43531: Phil Pizlo (Epic Games)

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-14174 is kiadásra került erre a jelentésre reagálva.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 302502

CVE-2025-43529: Google Threat Analysis Group

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-43529 is kiadásra került erre a jelentésre reagálva.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

WebKit Bugzilla: 303614

CVE-2025-14174: Apple és Google Threat Analysis Group

További köszönetnyilvánítás

Siri

Köszönjük Richard Hyunho Im (@richeeta; Route Zero Security; routezero.security) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. december 30.