Informazioni sui contenuti di sicurezza di iOS 18.3 e iPadOS 18.3

In questo documento vengono descritti i contenuti di sicurezza di iOS 18.3 e iPadOS 18.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 18.3 e iPadOS 18.3

Data di rilascio: 27 gennaio 2025

Accessibility

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato con accesso fisico a un dispositivo sbloccato potrebbe accedere a Foto mentre l'app è bloccata.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India

AirPlay

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe corrompere la memoria dei processi.

Descrizione: è stato risolto un problema di convalida dell'input.

CVE-2025-24126: Uri Katz (Oligo Security)

Voce aggiornata il 28 aprile 2025

AirPlay

Impatto: un utente malintezionato sulla rete locale potrebbe causare una chiusura imprevista dell'app

Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.

CVE-2025-24129: Uri Katz (Oligo Security)

Voce aggiornata il 28 aprile 2025

AirPlay

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24131: Uri Katz (Oligo Security)

Voce aggiornata il 28 aprile 2025

AirPlay

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24177: Uri Katz (Oligo Security)

CVE-2025-24179: Uri Katz (Oligo Security)

Voce aggiornata il 28 aprile 2025

AirPlay

Impatto: un utente malintenzionato sulla rete locale potrebbe danneggiare la memoria dei processi

Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.

CVE-2025-24137: Uri Katz (Oligo Security)

Voce aggiornata il 28 aprile 2025

ARKit

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu e Xingwei Lin della Zhejiang University

CoreAudio

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24160: Threat Analysis Group di Google

CVE-2025-24161: Threat Analysis Group di Google

CVE-2025-24163: Threat Analysis Group di Google

CoreMedia

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24123: Desmond in collaborazione con Zero Day Initiative di Trend Micro

CVE-2025-24124: Pwn2car e Rotiple (HyeongSeok Jang) in collaborazione con Zero Day Initiative di Trend Micro

CoreMedia

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 17.2.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-24085

CoreMedia Playback

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) e Lee Dong Ha (Who4mI)

Voce aggiunta il 16 maggio 2025

Display

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24111: Wang Yu di Cyberserval

Voce aggiunta il 12 maggio 2025

ImageIO

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24086: DongJun Kim (@smlijun) e JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n

Kernel

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel.

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Voce aggiunta il 12 maggio 2025

Kernel

Impatto: un'app dannosa può essere in grado di ottenere privilegi root.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-24107: un ricercatore anonimo

Kernel

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Libnotify

Impatto: un'app potrebbe essere in grado di causare un'interruzione del servizio.

Descrizione: un'app potrebbe impersonare le notifiche di sistema. Le notifiche urgenti ora richiedono diritti limitati.

CVE-2025-24091: Guilherme Rambo di Best Buddy Apps (rambo.codes)

Voce aggiornata il 30 aprile 2025

libxslt

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-55549: Ivan Fratric di Google Project Zero

CVE-2025-24855: Ivan Fratric di Google Project Zero

Voce aggiornata il 16 maggio 2025

Managed Configuration

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

PackageKit

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-31262: Mickey Jin (@patch1t)

Voce aggiunta il 16 maggio 2025

Passkeys

Impatto: un'app potrebbe ottenere l'accesso non autorizzato al Bluetooth.

CVE-2024-9956: mastersplinter

Safari

Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-31185: Jason Gendron (@gendron_jason), 이준성 (Junsung Lee)

Voce aggiunta il 16 maggio 2025

Safari

Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.

Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.

CVE-2025-24128: @RenwaX23

Safari

Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.

CVE-2025-24113: @RenwaX23

SceneKit

Impatto: l'analisi di un file potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-24149: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

Time Zone

Impatto: un'app potrebbe essere in grado di visualizzare il numero di telefono di un contatto nei registri di sistema

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Impatto: un utente malintenzionato potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24154: un ricercatore anonimo

WebKit

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 284332

CVE-2025-24189: un ricercatore anonimo

Voce aggiunta il 16 maggio 2025

WebKit

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto con migliori restrizioni di accesso al file system.

WebKit Bugzilla: 283117

CVE-2025-24143: un ricercatore anonimo

WebKit

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) di NUS CuriOSity e P1umer (@p1umer) di Imperial Global Singapore.

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy di HKUS3Lab e chluo di WHUSecLab

WebKit Web Inspector

Impatto: copiare un URL dall'inspector web può provocare un command injection.

Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal e C-DAC Thiruvananthapuram India per l'assistenza.

AirPlay

Ringraziamo Uri Katz (Oligo Security) per l'assistenza.

Voce aggiunta il 28 aprile 2025

Audio

Ringraziamo Threat Analysis Group di Google per l'assistenza.

CoreAudio

Ringraziamo Threat Analysis Group di Google per l'assistenza.

Files

Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.

iCloud

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Lakshmi Narain College of Technology Bhopal India, George Kovaios, Srijan Poudel per l'assistenza.

Voce aggiunta il 16 maggio 2025

Notifications

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Xingjian Zhao (@singularity-s0) per l'assistenza.

Passwords

Ringraziamo Talal Haj Bakry e Tommy Mysk di Mysk Inc. @mysk_co per l'assistenza.

Phone

Ringraziamo Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India e un ricercatore anonimo per l'assistenza.

Screenshots

Ringraziamo Yannik Bloscheck (yannikbloscheck.com) per l'assistenza.

Sleep

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal e C-DAC Thiruvananthapuram India per l'assistenza.

Static Linker

Ringraziamo Holger Fuhrmannek per l'assistenza.

VoiceOver

Ringraziamo Bistrit Dahal, Dalibor Milanovic per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 23 maggio 2025