Over de beveiligingsinhoud van iOS 18.3 en iPadOS 18.3

In dit document wordt de beveiligingsinhoud van iOS 18.3 en iPadOS 18.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18.3 en iPadOS 18.3

Releasedatum: 27 januari 2025

Accessibility

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller met fysieke toegang tot een ontgrendeld apparaat kan mogelijk toegang krijgen tot Foto's terwijl de app vergrendeld is

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India

AirPlay

Impact: een aanvaller op het lokale netwerk kan mogelijk het procesgeheugen beschadigen

Beschrijving: een probleem met invoervalidatie is verholpen.

CVE-2025-24126: Uri Katz (Oligo Security)

Bijgewerkt op 28 april 2025

AirPlay

Impact: een aanvaller op het lokale netwerk kan mogelijk het onverwacht beëindigen van apps veroorzaken

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

CVE-2025-24129: Uri Katz (Oligo Security)

Bijgewerkt op 28 april 2025

AirPlay

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24131: Uri Katz (Oligo Security)

Bijgewerkt op 28 april 2025

AirPlay

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: een null pointer-dereferentie is verholpen door verbeterde invoervalidatie.

CVE-2025-24177: Uri Katz (Oligo Security)

CVE-2025-24179: Uri Katz (Oligo Security)

Bijgewerkt op 28 april 2025

AirPlay

Impact: een aanvaller op het lokale netwerk kan mogelijk het procesgeheugen beschadigen

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

CVE-2025-24137: Uri Katz (Oligo Security)

Bijgewerkt op 28 april 2025

ARKit

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu en Xingwei Lin van Zhejiang University

CoreAudio

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24123: Desmond in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) in samenwerking met het Zero Day Initiative van Trend Micro

CoreMedia

Impact: een kwaadaardig programma kan de bevoegdheden verhogen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS vóór iOS 17.2.

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2025-24085

CoreMedia Playback

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) en Lee Dong Ha (Who4mI)

Toegevoegd op 16 mei 2025

Display

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2025-24111: Wang Yu van Cyberserval

Toegevoegd op 12 mei 2025

ImageIO

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24086: DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n

Kernel

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Toegevoegd op 12 mei 2025

Kernel

Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-24107: een anonieme onderzoeker

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Libnotify

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een app kan systeemmeldingen nadoen. Gevoelige meldingen vereisen nu beperkte rechten.

CVE-2025-24091: Guilherme Rambo van Best Buddy Apps (rambo.codes)

Bijgewerkt op 30 april 2025

libxslt

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-55549: Ivan Fratric van Google Project Zero

CVE-2025-24855: Ivan Fratric van Google Project Zero

Bijgewerkt op 16 mei 2025

Managed Configuration

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

PackageKit

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-31262: Mickey Jin (@patch1t)

Toegevoegd op 16 mei 2025

Passkeys

Impact: een app kan ongeoorloofde toegang verkrijgen tot Bluetooth

CVE-2024-9956: mastersplinter

Safari

Impact: foto's in het album 'Verborgen' kunnen mogelijk zonder validatie worden bekeken

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-31185: Jason Gendron (@gendron_jason), 이준성 (Junsung Lee)

Toegevoegd op 16 mei 2025

Safari

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2025-24128: @RenwaX23

Safari

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

CVE-2025-24113: @RenwaX23

SceneKit

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-24149: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Time Zone

Impact: een app kan het telefoonnummer van een contactpersoon zien in systeemlogbestanden

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-24154: een anonieme onderzoeker

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 284332

CVE-2025-24189: een anonieme onderzoeker

Toegevoegd op 16 mei 2025

WebKit

Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker

Beschrijving: het probleem is aangekaart met verbeterde toegangsrestricties voor het bestandssysteem.

WebKit Bugzilla: 283117

CVE-2025-24143: een anonieme onderzoeker

WebKit

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) van NUS CuriOSity en P1umer (@p1umer) van Imperial Global Singapore.

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy van HKUS3Lab en chluo van WHUSecLab

WebKit Web Inspector

Impact: het kopiëren van een URL uit Web Inspector kan leiden tot commando-injectie

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van bestanden.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal en C-DAC Thiruvananthapuram India voor de hulp.

AirPlay

Met dank aan Uri Katz (Oligo Security) voor de hulp.

Toegevoegd op 28 april 2025

Audio

Met dank aan Google Threat Analysis Group voor de hulp.

CoreAudio

Met dank aan Google Threat Analysis Group voor de hulp.

Files

Met dank aan Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

iCloud

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, George Kovaios, Srijan Poudel voor de hulp.

Toegevoegd op 16 mei 2025

Meldingen

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India en Xingjian Zhao (@singularity-s0) voor de hulp.

Passwords

Met dank aan Talal Haj Bakry en Tommy Mysk van Mysk Inc. @mysk_co voor de hulp.

Phone

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India en een anonieme onderzoeker voor de hulp.

Screenshots

Met dank aan Yannik Bloscheck (yannikbloscheck.com) voor de hulp.

Sleep

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal en C-DAC Thiruvananthapuram India voor de hulp.

Static Linker

Met dank aan Holger Fuhrmannek voor de hulp.

VoiceOver

Met dank aan Bistrit Dahal en Dalibor Milanovic voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 23 mei 2025