Zawartość związana z zabezpieczeniami w systemach iOS 18.4 i iPadOS 18.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 18.4 i iPadOS 18.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 18.4 i iPadOS 18.4

Wydano 31 marca 2025 r.

Accessibility

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-24202: Zhongcheng Li z IES Red Team w ByteDance

Accounts

Zagrożenie: możliwość uzyskania dostępu do poufnych danych z pęku kluczy z kopii zapasowej iOS.

Opis: ten błąd naprawiono przez ulepszenie ograniczeń dostępu do danych.

CVE-2025-24221: Lehan Dilusha (@zafer) i anonimowy badacz

Wpis uaktualniono 28 maja 2025 r.

AirDrop

Zagrożenie: aplikacja może być w stanie odczytać dowolne metadane pliku.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24097: Ron Masas z BREAKPOINT.SH

AirPlay

Zagrożenie: nieautoryzowany użytkownik będący w tej samej sieci co zalogowany Mac może wysyłać polecenia AirPlay bez połączenia w parę.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2025-24271: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

AirPlay

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie ujawnić poufne informacje użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-24270: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

AirPlay

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31202: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

AirPlay

Zagrożenie: osoba atakująca w sieci lokalnej może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-24252: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

AirPlay

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie obejść zasady uwierzytelniania.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-24206: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

AirPlay

Zagrożenie: osoba atakująca w sieci lokalnej może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2025-30445: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

AirPlay

Zagrożenie: osoba atakująca w sieci lokalnej może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

Audio

Zagrożenie: aplikacja może być w stanie pominąć ASLR.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43205: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 29 lipca 2025 r.

Audio

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24244: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Audio

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24243: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Authentication Services

Zagrożenie: funkcja Wypełnianie haseł może wypełniać hasła po nieudanym uwierzytelnieniu.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30430: Dominik Rath

Authentication Services

Zagrożenie: złośliwa witryna internetowa może być w stanie uzyskać poświadczenia WebAuthn z innej witryny, która współdzieli zarejestrowaną końcówkę domeny.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24180: Martin Kreichgauer z Google Chrome

BiometricKit

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Wpis uaktualniono 28 maja 2025 r.

Calendar

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Zagrożenie: odtworzenie złośliwego pliku audio może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24230: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreGraphics

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31196: wac pracujący w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 28 maja 2025 r.

CoreMedia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: ten błąd naprawiono przez poprawienie procedury obsługi pamięci.

CVE-2025-24211: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24190: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia Playback

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) z Microsoft, anonimowy badacz

CoreText

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24182: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreUtils

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31203: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

curl

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-9681

DiskArbitration

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Focus

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30439: Andr.Ess

Focus

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem został rozwiązany przez oczyszczenie logowania.

CVE-2025-30447: LFY@secsys z Fudan University

Handoff

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ograniczenia dostępu do kontenera danych.

CVE-2025-30463: mzzzz__

ImageIO

Zagrożenie: analiza składni obrazu może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.

CVE-2025-24210: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

IOGPUFamily

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24257: Wang Yu z Cyberserval

Journal

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować atak XSS (cross-site-scripting).

Opis: naprawiono błąd przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2025-30434: Muhammad Zaid Ghifari (Mr.ZheeV) i Kalimantan Utara

Kernel

Zagrożenie: złośliwa aplikacja może próbować wprowadzić kod na zablokowanym urządzeniu, co może powodować wydłużające się opóźnienia po 4 nieudanych próbach.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

CVE-2024-48958

libnetcore

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może doprowadzić do ujawnienia pamięci procesowej.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24194: anonimowy badacz

libxml2

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

CVE-2025-27113

CVE-2024-56171

libxpc

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24178: anonimowy badacz

libxpc

Zagrożenie: aplikacja może być w stanie usunąć pliki, do których nie ma uprawnień.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2025-31182: Alex Radocea i Dave G. z Supernetworks, 风沐云烟(@binary_fmyy) i Minghao Lin(@Y1nKoc)

libxpc

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24238: anonimowy badacz

Logging

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) z Microsoft, Alexia Wilson z Microsoft, Christine Fossaceca z Microsoft

Wpis dodano 28 maja 2025 r.

Maps

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: usunięto błąd w procedurze obsługi ścieżek przez poprawienie obsługi procesów logicznych.

CVE-2025-30470: LFY@secsys z Fudan University

MobileLockdown

Dostępne dla: iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 4. generacji i nowszych, iPada 10. generacji i nowszych oraz iPada mini 6. generacji i nowszych

Zagrożenie: osoba atakująca mająca połączenie USB‑C z odblokowanym urządzeniem może być w stanie programowo uzyskać dostęp do zdjęć.

Opis: ten błąd naprawiono przez poprawienie mechanizmu uwierzytelniania.

CVE-2025-24193: Florian Draschbacher

NetworkExtension

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-30426: Jimmy

Photos

Zagrożenie: zdjęcia w albumie Ukryte zdjęcia można przeglądać bez uwierzytelniania.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30428: Jax Reissner

Photos

Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może uzyskać dostęp do zdjęć z poziomu ekranu blokady.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30469: Dalibor Milanovic

Power Services

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Zagrożenie: witryna internetowa może być w stanie ominąć zasadę tego samego pochodzenia.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Wpis dodano 28 maja 2025 r.

Safari

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: ten błąd naprawiono przez ulepszenie interfejsu użytkownika.

CVE-2025-24113: @RenwaX23

Safari

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30467: @RenwaX23

Safari

Zagrożenie: witryna internetowa mogła uzyskać dostęp do informacji z czujników bez zgody użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-31192: Jaydev Ahire

Safari

Zagrożenie: źródło pobierania może być niepoprawnie powiązane.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24167: Syarif Muhammad Sajjad

Sandbox Profiles

Zagrożenie: aplikacja może być w stanie odczytać trwały identyfikator urządzenia.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24220: Wojciech Reguła z SecuRing (wojciechregula.blog)

Wpis dodano 12 maja 2025 r.

Security

Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai z Alibaba Group, Luyi Xing z Indiana University Bloomington

Share Sheet

Zagrożenie: złośliwa aplikacja może być w stanie odrzucić powiadomienie systemowe na ekranie blokady informujące o rozpoczęciu nagrywania.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Zagrożenie: skrót może umożliwiać dostęp do plików, które normalnie są niedostępne dla aplikacji Skróty.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2025-30433: Andrew James Gonzalez

Siri

Zagrożenie: osoba atakująca może być w stanie użyć Siri w celu włączenia funkcji Automatyczne odbieranie połączeń.

Opis: ten problem rozwiązano przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.

CVE-2025-30436: Abhay Kailasia (@abhay_kailasia) z C-DAC Thiruvananthapuram India, Chi Yuan Chang z ZUSO ART oraz taikosoup

Wpis dodano 12 maja 2025 r.

Siri

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ograniczenia dostępu do kontenera danych.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem dotyczący prywatności przez nierejestrowanie zawartości pól tekstowych.

CVE-2025-24214: Kirin (@Pwnrin)

Siri

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-24205: YingQi Shi(@Mas0nShi) z laboratorium WeBin firmy DBAppSecurity i Minghao Lin (@Y1nKoc)

Siri

Zagrożenie: osoba atakująca z fizycznym dostępem może być w stanie użyć Siri w celu uzyskania dostępu do poufnych danych użytkownika.

Opis: ten problem rozwiązano przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.

CVE-2025-24198: Richard Hyunho Im (@richeeta) z routezero.security

Web Extensions

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do funkcji Lokalna sieć.

Opis: ten błąd naprawiono przez poprawienie sprawdzania uprawnień.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) i Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Zagrożenie: odwiedzenie witryny może spowodować ujawnienie poufnych danych.

Opis: naprawiono błąd importowania skryptu przez ulepszenie izolacji.

CVE-2025-24192: Vsevolod Kokorin (Slonser) z Solidlab

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 285892

CVE-2025-24264: Gary Kwong i anonimowy badacz

WebKit Bugzilla: 284055

CVE-2025-24216: Paul Bakker z ParagonERP

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 286462

CVE-2025-24209: Francisco Alonso (@revskills) i anonimowy badacz

WebKit

Zagrożenie: wczytanie złośliwego elementu iframe może prowadzić do ataku typu cross-site scripting (XSS).

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

WebKit Bugzilla: 286381

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) i Kalimantan Utara

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 285643

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników, gdy w przeglądarce Safari jest włączony tryb przeglądania prywatnego.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

WebKit Bugzilla: 286580

CVE-2025-30425: anonimowy badacz

Dodatkowe podziękowania

Accessibility

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Richard Hyunho Im (@richeeta) wraz z routezero.security, shane gallagher.

Accounts

Dziękujemy za udzieloną pomoc: Bohdan Stasiuk (@bohdan_stasiuk).

Apple Account

Dziękujemy za udzieloną pomoc: Byron Fecho.

FaceTime

Dziękujemy za udzieloną pomoc: anonimowy badacz, Dohyun Lee (@l33d0hyun) z USELab, Korea University i Youngho Choi z CEL, Korea University i Geumhwan Cho z USELab, Korea University.

Find My

Dziękujemy za udzieloną pomoc: 神罚(@Pwnrin).

Foundation

Dziękujemy za udzieloną pomoc: Jann Horn z Google Project Zero.

Handoff

Dziękujemy za udzieloną pomoc: Kirin i FlowerCode.

HearingCore

Dziękujemy za udzieloną pomoc: Kirin@Pwnrin i LFY@secsys z Fudan University.

Home

Dziękujemy za udzieloną pomoc: Hasan Sheet.

ImageIO

Dziękujemy za udzieloną pomoc: D4m0n.

Mail

Dziękujemy za udzieloną pomoc: Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau z The Chinese University of Hong Kong, K宝 oraz LFY@secsys z Fudan University.

Messages

Dziękujemy za udzieloną pomoc: parkminchan z Korea Univ.

Notes

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.

Passwords

Dziękujemy za udzieloną pomoc: Stephan Davidson, Tim van Dijen z SimpleSAMLphp.

Photos

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z LNCT Bhopal i C-DAC Thiruvananthapuram India, Abhishek Kanaujia, Bistrit Dahal, Dalibor Milanovic, Himanshu Bharti, Srijan Poudel.

Photos Storage

Dziękujemy za udzieloną pomoc: Aakash Rayapur, Ahmed Mahrous, Bistrit Dahal, Finley Drewery, Henning Petersen, J T, Nilesh Mourya, Pradip Bhattarai, Pranav Bantawa and Pranay Bantawa, Sai Tarun Aili, Stephen J Lalremruata, Вячеслав Погорелов i anonimowy badacz.

Wpis uaktualniono 28 maja 2025 r.

Safari

Dziękujemy za udzieloną pomoc: George Bafaloukas (george.bafaloukas@pingidentity.com) i Shri Hunashikatti (sshpro9@gmail.com).

Safari Extensions

Dziękujemy za udzieloną pomoc: Alisha Ukani, Pete Snyder, Alex C. Snoeren.

Safari Private Browsing

Dziękujemy za udzieloną pomoc: Charlie Robinson.

Sandbox Profiles

Dziękujemy za udzieloną pomoc: Benjamin Hornbeck.

SceneKit

Dziękujemy za udzieloną pomoc: Marc Schoenefeld, Dr. rer. nat.

Screen Time

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.

Security

Dziękujemy za udzieloną pomoc: Kevin Jones (GitHub).

Settings

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z C-DAC Thiruvananthapuram India, Joaquin Ruano Campos, Lucas Monteiro.

Shortcuts

Dziękujemy za udzieloną pomoc: Chi Yuan Chang z ZUSO ART i taikosoup oraz anonimowy badacz.

Siri

Dziękujemy za udzieloną pomoc: Lyutoon.

srd_tools

Dziękujemy za udzieloną pomoc: Joshua van Rijswijk, Micheal ogaga, hitarth shah.

Status Bar

Dziękujemy za udzieloną pomoc: J T, Richard Hyunho Im (@r1cheeta), Suraj Sawant.

Translations

Dziękujemy za udzieloną pomoc: K宝(@Pwnrin).

Wallet

Dziękujemy za udzieloną pomoc: Aqib Imran.

WebKit

Dziękujemy za udzieloną pomoc: Gary Kwong, Jesse Stolwijk, P1umer (@p1umer) i Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang i Daoyuan Wu z HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) z VXRL, Wong Wai Kin, Dongwei Xiao oraz Shuai Wang z HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) of VXRL., Xiangwei Zhang z Tencent Security YUNDING LAB, 냥냥 oraz anonimowy badacz.

Writing Tools

Dziękujemy za udzieloną pomoc: Richard Hyunho Im (@richeeta) z Route Zero Security.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 4 sierpnia 2025 г.