Over de beveiligingsinhoud van iOS 18.5 en iPadOS 18.5

In dit document wordt de beveiligingsinhoud van iOS 18.5 en iPadOS 18.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18.5 en iPadOS 18.5

AppleJPEG

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2025-31251: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Baseband

Beschikbaar voor: iPhone 16e

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-31214: 秦若涵, 崔志伟 en 崔宝江

Call History

Beschikbaar voor: iPhone XS en nieuwer

Impact: gespreksgeschiedenis van verwijderde apps kan nog steeds in de zoekresultaten van Spotlight worden weergegeven.

Beschrijving: een privacy probleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2025-31225: Deval Jariwala

Core Bluetooth

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-31212: Guilherme Rambo van Best Buddy Apps (rambo.codes)

CoreAudio

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31208: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreGraphics

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-31209: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-31239: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2025-31233: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

FaceTime

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het dempen van de microfoon tijdens een FaceTime-gesprek, zorgt er mogelijk niet voor dat er geen audio hoorbaar is

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-31253: Dalibor Milanovic

FaceTime

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

CVE-2025-31210: Andrew James Gonzalez

FrontBoard

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-31207: YingQi Shi (@Mas0nShi) van DBAppSecurity’s WeBin lab, Duy Trần (@khanhduytran0)

iCloud Document Sharing

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller kan misschien zonder in te loggen het delen van een iCloud-map inschakelen.

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-30448: Dayton Pidhirney van Atredis Partners, Lyutoon and YenKoc

ImageIO

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-31226: Saagar Jha

Kernel

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een externe aanvaller kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-31219: Michael DePlante (@izobashi) en Lucas Leong (@_wmliang_) van het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-31241: Christian Kohlschütter

libexpat

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: meerdere problemen in libexpat, waaronder het onverwacht beëindigen van apps of het uitvoeren van willekeurige code

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-8176

Mail Addressing

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van een e-mailbericht kan leiden tot UI-spoofing

Beschrijving: een probleem met invoegen is opgelost met verbeterde invoervalidatie.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

mDNSResponder

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een gebruiker kan de bevoegdheden verhogen

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Notes

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller met fysieke toegang tot een apparaat heeft toegang tot notities vanaf het toegangsscherm

Beschrijving: het probleem is verholpen door verbeterde authenticatie.

CVE-2025-31228: Andr.Ess

Notes

Beschikbaar voor: iPhone XS en nieuwer

Impact: een aanvaller met fysieke toegang tot een apparaat heeft toegang tot een verwijderde gespreksopname

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-31227: Shehab Khan

Pro Res

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31245: wac

Pro Res

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2025-31234: CertiK (@CertiK)

Security

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een externe aanvaller kan geheugen vrijgeven

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2025-31221: Dave G.

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een type confusion-probleem kan mogelijk leiden tot het beschadigen van het geheugen

Beschrijving: dit probleem is verholpen door verbeterde verwerking van floats.

CVE-2025-24213: Google V8 Security Team

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31223: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

CVE-2025-31238: wac in samenwerking met het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24223: rheza (@ginggilBesel) en een anonieme onderzoeker

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31215: Jiming Wang en Jikai Ren

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2025-31206: een anonieme onderzoeker

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31205: Ivan Fratric van Google Project Zero

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: dit probleem is verholpen door verbeterde verwerking van het geheugen.

CVE-2025-31257: Juergen Schmied van Lynck GmbH

Aanvullende erkenning

AirDrop

Met dank aan Dalibor Milanovic voor de hulp.

Kernel

Met dank aan een anonieme onderzoeker voor de hulp.

libnetcore

Met dank aan Hoffcona van ByteDance IES Red Team voor de hulp.

Messages

Met dank aan Paulo Henrique Batista Rosa de Castro (@paulohbrc) voor de hulp.

MobileGestalt

Met dank aan iisBuri voor de hulp.

MobileLockdown

Met dank aan Matthias Frielingsdorf (@helthydriver) van iVerify en een anonieme onderzoeker voor de hulp.

NetworkExtension

Met dank aan Andrei-Alexandru Bleorțu voor de hulp.

Phone

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India voor de hulp.

Photos

Met dank aan Yusuf Kelany voor de hulp.

Safari

Met dank aan Akash Labade, Narendra Bhati, Manager van Cyber Security bij Suma Soft Pvt. Ltd, Pune (India) voor de hulp.

Screenshots

Met dank aan een anonieme onderzoeker voor de hulp.

Shortcuts

Met dank aan Candace Jensen van Kandji, Chi Yuan Chang van ZUSO ART en taikosoup, Egor Filatov (Positive Technologies) en Monnier Pascaud voor de hulp.

Siri Suggestions

Met dank aan Jake Derouin (jakederouin.com) voor de hulp.

Spotlight

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India voor de hulp.

WebKit

Met dank aan Mike Dougherty en Daniel White van Google Chrome en een anonieme onderzoeker voor de hulp.