Zawartość związana z zabezpieczeniami w systemach iOS 18.7.2 i iPadOS 18.7.2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 18.7.2 i iPadOS 18.7.2.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 18.7.2 oraz iPadOS 18.7.2

Wydano 5 listopada 2025 r.

Accessibility

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie określić, jakie inne aplikacje zostały zainstalowane przez użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43442: Zhongcheng Li z IES Red Team w ByteDance

App Store

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43444: Zhongcheng Li z IES Red Team w ByteDance

Audio

Zagrożenie: atakujący mający fizyczny dostęp do odblokowanego urządzenia sparowanego z komputerem Mac może być w stanie przeglądać poufne informacje użytkownika w dziennikach systemowych.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Zagrożenie: aplikacja może uzyskać informacje o bieżącym widoku aparatu, zanim uzyska dostęp do tego aparatu.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-43450: Dennis Briner

CloudKit

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreText

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43445: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Find My

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: rozwiązano błąd prywatności przez przeniesienie poufnych danych.

CVE-2025-43507: iisBuri

Installer

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43444: Zhongcheng Li z IES Red Team w ByteDance

Kernel

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Mail

Zagrożenie: zawartość zdalna może zostać wczytana, nawet gdy ustawienie „Pobieraj obrazy zdalne” jest wyłączone.

Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme z Khatima

MetricKit

Zagrożenie: nieuprzywilejowany proces może być w stanie zakończyć procesy główne.

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43365: Minghao Lin (@Y1nKoc) i Lyutoon (@Lyutoon_) oraz YingQi Shi (@Mas0n)

Model I/O

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43386: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43383: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43385: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43384: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

Model I/O

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43377: BynarIO AI (bynar.io)

Notes

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: rozwiązano problem z prywatnością przez usunięcie poufnych danych.

CVE-2025-43439: Zhongcheng Li z IES Red Team w ByteDance

Safari

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-43493: @RenwaX23

Safari

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-43503: @RenwaX23

Shortcuts

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-43499: anonimowy badacz

Siri

Zagrożenie: w urządzeniu może występować ciągły błąd blokady.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-43454: Joshua Thomas

Siri

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2025-43399: Kirin (@Pwnrin), Cristian Dinca (icmd.tech)

Spotlight

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: ten problem rozwiązano przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.

CVE-2025-43418: Dalibor Milanovic

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri pracujący w ramach programu Zero Day Initiative firmy Trend Micro

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen z Google

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

WebKit Bugzilla: 299843

CVE-2025-43443: anonimowy badacz

WebKit

Zagrożenie: aplikacja może monitorować naciśnięcia klawiszy bez zgody użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit Canvas

Zagrożenie: witryna internetowa może eksfiltrować dane obrazów z zewnętrznego źródła.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Dodatkowe podziękowania

Mail

Dziękujemy anonimowemu badaczowi za pomoc.

Shortcuts

Dziękujemy za udzieloną pomoc: Andrew James Gonzalez.

WebKit

Dziękujemy za pomoc: Enis Maholli (enismaholli.com), Google Big Sleep.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 10 listopada 2025 г.