Over de beveiligingsinhoud van iOS 18.6 en iPadOS 18.6

In dit document wordt de beveiligingsinhoud van iOS 18.6 en iPadOS 18.6 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18.6 en iPadOS 18.6

Releasedatum: 29 juli 2025

Accessibility

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: de toegangscode kan hardop worden voorgelezen door VoiceOver

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Impact: de privacy-indicator voor de microfoon of camera wordt mogelijk onjuist weergegeven

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43186: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CFNetwork

Impact: een niet-geprivilegieerde gebruiker kan mogelijk beperkte netwerkinstellingen wijzigen

Beschrijving: een denial-of-service-probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43223: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

CoreAudio

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43277: de Threat Analysis Group van Google

CoreMedia

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43210: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia Playback

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door aanvullende controles op bevoegdheden.

CVE-2025-43230: Chi Yuan Chang van ZUSO ART en taikosoup

ICU

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43209: Gary Kwong in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-43226

libnetcore

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: dit probleem is verholpen door verbeterde verwerking van het geheugen.

CVE-2025-43202: Brian Carpenter

libxml2

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-7425: Sergei Glazunov van Google Project Zero

libxslt

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

CVE-2025-7424: Ivan Fratric van Google Project Zero

Mail Drafts

Impact: Content op afstand kan worden geladen, zelfs als de instelling 'Afbeeldingen op afstand laden' is uitgeschakeld

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

Impact: het verwerken van een kwaadwillig vervaardigde structuur kan leiden tot het onverwacht beëindigen van de app

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.

CVE-2025-43234: Vlad Stolyarov van de Threat Analysis Group van Google

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43224: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

CVE-2025-43221: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.

CVE-2025-31281: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

WebKit

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

WebKit Bugzilla: 294374

CVE-2025-43228: Jaydev Ahire

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 292888

CVE-2025-43227: Gilad Moav

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 291742

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei

WebKit Bugzilla: 291745

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei

WebKit Bugzilla: 293579

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 292599

CVE-2025-43214: shandikri in samenwerking met Zero Day Initiative van Trend Micro, Google V8 Security Team

WebKit Bugzilla: 292621

CVE-2025-43213: Google V8 Security Team

WebKit Bugzilla: 293197

CVE-2025-43212: Nan Wang (@eternalsakura13) en Ziling Chen

WebKit

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 293730

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het vrijgeven van interne statussen van de app

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

WebKit Bugzilla: 294182

CVE-2025-43265: HexRabbit (@h3xr4bb1t) van DEVCORE Research Team

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 295382

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

WebKit Bugzilla: 296459

CVE-2025-6558: Clément Lecigne en Vlad Stolyarov van de Threat Analysis Group van Google

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India, Hamza BHP, Himanshu Bharti (@Xpl0itme) voor de hulp.

Activation Lock

Met dank aan salemdomain voor de hulp.

Bluetooth

Met dank aan LIdong LI, Xiao Wang, Shao Dong Chen en Chao Tan van Source Guard voor de hulp.

CoreAudio

Met dank aan Noah Weinberg voor de hulp.

Device Management

Met dank aan Al Karak voor de hulp.

libxml2

Met dank aan Sergei Glazunov van Google Project Zero voor de hulp.

libxslt

Met dank aan Ivan Fratric van Google Project Zero voor de hulp.

Managed Configuration

Met dank aan Bill Marczak van The Citizen Lab van de Munk School van The University of Toronto voor de hulp.

Photos

Met dank aan een anonieme onderzoeker voor de hulp.

Safari

Met dank aan Ameen Basha M K voor de hulp.

Shortcuts

Met dank aan Dennis Kniep voor de hulp.

Siri

Met dank aan Timo Hetzel voor de hulp.

WebKit

Met dank aan Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei, rheza (@ginggilBesel) voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 5 augustus 2025