Zawartość związana z zabezpieczeniami w systemach iOS 18.7.3 i iPadOS 18.7.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 18.7.3 i iPadOS 18.7.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 18.7.3 oraz iPadOS 18.7.3

AppleJPEG

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Call History

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: atakujący może być w stanie podszyć się pod identyfikator FaceTime rozmówcy

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-46287: anonimowy badacz, Riley Walz

curl

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: wiele błędów w komponentach curl.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: pola haseł mogą zostać przypadkowo ujawnione podczas zdalnego sterowania urządzeniem przez FaceTime

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2025-43542: Yiğit Ocak

Foundation

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetwarzanie złośliwych danych może prowadzić do nieoczekiwanego zamknięcia aplikacji

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43532: Andrew Calvano i Lucas Pinheiro z Meta Product Security

Icons

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie określić, jakie inne aplikacje zostały zainstalowane przez użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-43512: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

Kernel

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: problem przepełnienia liczb całkowitych został rozwiązany poprzez zastosowanie 64-bitowych znaczników czasu.

CVE-2025-46285: Kaitao Xie i Xiaolong Bai z Alibaba Group

libarchive

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-5918

Messages

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmów kontroli prywatności.

CVE-2025-46276: Rosyna Keller z Totally Not Malicious Software

Screen Time

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-43538: Iván Savransky

Settings

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2025-43530: Mickey Jin (@patch1t)

Telephony

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-46292: Rosyna Keller z Totally Not Malicious Software

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43535: Nan Wang (@eternalsakura13), Google Big Sleep

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2025-43541: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2025-43501: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2025-43531: Phil Pizlo z Epic Games

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być wykorzystywany w bardzo zaawansowanych atakach na określone osoby fizyczne z systemem iOS starszym niż iOS 26. CVE-2025-14174: wydano również w odpowiedzi na ten raport.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-43529: Threat Analysis Group firmy Google

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci. Apple ma świadomość, że problem mógł być wykorzystywany w bardzo zaawansowanych atakach na określone osoby fizyczne z systemem iOS starszym niż iOS 26. CVE-2025-43529: wydano również w odpowiedzi na ten raport.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2025-14174: Apple i Google Threat Analysis Group

Dodatkowe podziękowania

Siri

Dziękujemy za udzieloną pomoc: Richard Hyunho Im (@richeeta) z Route Zero Security (routezero.security).