Informazioni sui contenuti di sicurezza di iOS 18.6 e iPadOS 18.6

In questo documento vengono descritti i contenuti di sicurezza di iOS 18.6 e iPadOS 18.6.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 18.6 e iPadOS 18.6

Accessibility

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: il codice può essere letto ad alta voce da VoiceOver.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: gli indicatori di privacy per l'accesso al microfono o alla fotocamera possono essere visualizzati in modo errato.

Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-43186: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CFNetwork

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente non privilegiato può essere in grado di modificare le impostazioni di rete con restrizioni

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-43223: Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs

CoreAudio

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un file audio dannoso può danneggiare la memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-43277: Threat Analysis Group di Google

CoreMedia

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43210: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreMedia Playback

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2025-43230: Chi Yuan Chang di ZUSO ART e taikosoup

ICU

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43209: Gary Kwong in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-43226

libnetcore

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un file può danneggiare la memoria.

Descrizione: questo problema è stato risolto con una migliore gestione della memoria.

CVE-2025-43202: Brian Carpenter

libxml2

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un file può danneggiare la memoria.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-7425: Sergei Glazunov di Google Project Zero

libxslt

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-7424: Ivan Fratric di Google Project Zero

Mail Drafts

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: i contenuti remoti possono essere caricati anche se l'impostazione “Carica immagini remote” è disattivata.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di una texture pericolosa potrebbe causare la chiusura imprevista dell'app.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2025-43234: Vlad Stolyarov di Threat Analysis Group di Google

Model I/O

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43224: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

CVE-2025-43221: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

Model I/O

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-31281: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.

Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.

CVE-2025-43228: Jaydev Ahire

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-43227: Gilad Moav

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-43214: shandikri in collaborazione con Zero Day Initiative di Trend Micro, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) e Ziling Chen

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuti web dannosi potrebbe rivelare gli stati interni dell'app.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) di DEVCORE Research Team

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-6558: Clément Lecigne e Vlad Stolyarov del Threat Analysis Group di Google

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India, Hamza BHP, Himanshu Bharti (@Xpl0itme) per l'assistenza.

Activation Lock

Ringraziamo salemdomain per l'assistenza.

Bluetooth

Ringraziamo LIdong LI, Xiao Wang, Shao Dong Chen e Chao Tan di Source Guard per l'assistenza.

CoreAudio

Ringraziamo Noah Weinberg per l'assistenza.

Device Management

Ringraziamo Al Karak per l'assistenza.

libxml2

Ringraziamo Sergei Glazunov di Google Project Zero per l'assistenza.

libxslt

Vorremmo ringraziare Ivan Fratric di Google Project Zero per l'assistenza.

Managed Configuration

Ringraziamo Bill Marczak di The Citizen Lab presso la Munk School della University of Toronto per l'assistenza.

Photos

Ringraziamo un ricercatore anonimo per l'assistenza.

Safari

Ringraziamo Ameen Basha M K per l'assistenza.

Shortcuts

Ringraziamo Dennis Kniep per l'assistenza.

Siri

Ringraziamo Timo Hetzel per l'assistenza.

WebKit

Ringraziamo Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei, rheza (@ginggilBesel) per l'assistenza.