Om sikkerhetsinnholdet i iOS 18.6 og iPadOS 18.6

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 18.6 og iPadOS 18.6.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iOS 18.6 og iPadOS 18.6

Accessibility

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Koden kan leses høyt av VoiceOver

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Personvernindikatorer for mikrofon- eller kameratilgang kan vises feil

Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43186: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CFNetwork

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En bruker uten rettigheter kan endre begrensede nettverksinnstillinger

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret inndatavalidering.

CVE-2025-43223: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

CoreAudio

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig lydfil kan føre til skadet minne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43277: Googles Threat Analysis Group

CoreMedia

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43210: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia Playback

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.

CVE-2025-43230: Chi Yuan Chang fra ZUSO ART og taikosoup

ICU

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43209: Gary Kwong i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2025-43226

libnetcore

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en fil kan føre til skadet minne

Beskrivelse: Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2025-43202: Brian Carpenter

libxml2

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en fil kan føre til skadet minne

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID-en på cve.org.

CVE-2025-7425: Sergei Glazunov fra Google Project Zero

libxslt

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-7424: Ivan Fratric fra Google Project Zero

Mail Drafts

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Eksternt innhold kan hentes selv når innstillingen «Hent eksterne bilder» er slått av

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig struktur kan føre til uventet applukking

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2025-43234: Vlad Stolyarov fra Googles Threat Analysis Group

Model I/O

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43224: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CVE-2025-43221: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Model I/O

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret minnehåndtering.

CVE-2025-31281: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Problemet ble løst med et forbedret brukergrensesnitt.

CVE-2025-43228: Jaydev Ahire

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-43227: Gilad Moav

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43214: shandikri i samarbeid med Trend Micro Zero Day Initiative, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) og Ziling Chen

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan avsløre interne tilstander i appen

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) fra DEVCORE Research Team

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID-en på cve.org.

CVE-2025-6558: Clément Lecigne og Vlad Stolyarov fra Googles Threat Analysis Group

Ytterligere anerkjennelser

Accessibility

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India, Hamza BHP og Himanshu Bharti (@Xpl0itme) for hjelpen.

Activation Lock

Vi vil gjerne takke salemdomain for hjelpen.

Bluetooth

Vi vil gjerne takke LIdong LI, Xiao Wang, Shao Dong Chen og Chao Tan fra Source Guard for hjelpen.

CoreAudio

Vi vil gjerne takke Noah Weinberg for hjelpen.

Device Management

Vi vil gjerne takke Al Karak for hjelpen.

libxml2

Vi vil gjerne takke Sergei Glazunov fra Google Project Zero for hjelpen.

libxslt

Vi vil gjerne takke Ivan Fratic fra Google Project Zero for hjelpen.

Managed Configuration

Vi vil gjerne takke Bill Marczak fra The Citizen Lab ved The University of Toronto’s Munk School for hjelpen.

Photos

Vi vil gjerne takke en anonym forsker for hjelpen.

Safari

Vi vil gjerne takke Ameen Basha M K for hjelpen.

Shortcuts

Vi vil gjerne takke Dennis Kniep for hjelpen.

Siri

Vi vil gjerne takke Timo Hetzel for hjelpen.

WebKit

Vi vil gjerne takke Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei og rheza (@ginggilBesel) for hjelpen.