Sobre o conteúdo de segurança do iOS 18.6 e do iPadOS 18.6

Este documento descreve o conteúdo de segurança do iOS 18.6 e do iPadOS 18.6.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

iOS 18.6 e iPadOS 18.6

Lançado em 29 de julho de 2025

Accessibility

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3ª geração) e posterior, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (7ª geração) e posterior e iPad mini (5ª geração) e posterior

Impacto: a senha pode ser lida em voz alta pelo VoiceOver

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Impacto: os indicadores de privacidade para acesso ao microfone ou à câmera podem não ser exibidos corretamente

Descrição: o problema foi resolvido por meio da inclusão de lógica adicional.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43186: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CFNetwork

Impacto: um usuário sem privilégios poderia conseguir modificar ajustes de rede restritos

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-43223: Andreas Jaegersberger & Ro Achterberg da Nosebeard Labs

CoreAudio

Impacto: o processamento de um arquivo de áudio criado com códigos maliciosos pode levar à corrupção da memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43277: Google Threat Analysis Group

CoreMedia

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43210: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreMedia Playback

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido com mais verificações de permissão.

CVE-2025-43230: Chi Yuan Chang da ZUSO ART e taikosoup

ICU

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43209: Gary Kwong em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Impacto: processar uma imagem criada com códigos maliciosos poderia resultar na divulgação da memória de processamento

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-43226

libnetcore

Impacto: o processamento de um arquivo pode causar corrupção da memória

Descrição: esse problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43202: Brian Carpenter

libxml2

Impacto: o processamento de um arquivo pode causar corrupção da memória

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-7425: Sergei Glazunov do Google Project Zero

libxslt

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-7424: Ivan Fratric do Google Project Zero

Mail Drafts

Impacto: o conteúdo remoto poderá ser carregado mesmo quando o ajuste "Carregar Imagens" estiver desativado

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

Impacto: processar uma textura criada com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.

CVE-2025-43234: Vlad Stolyarov do Google Threat Analysis Group

Model I/O

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43224: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

CVE-2025-43221: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

Model I/O

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um problema de validação de entrada foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-31281: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

WebKit

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: o problema foi resolvido por meio de melhorias da interface do usuário.

WebKit Bugzilla: 294374

CVE-2025-43228: Jaydev Ahire

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode divulgar informações confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 292888

CVE-2025-43227: Gilad Moav

WebKit

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 291742

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei

WebKit Bugzilla: 291745

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei

WebKit Bugzilla: 293579

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 292599

CVE-2025-43214: shandikri em parceria com a Trend Micro Zero Day Initiative, a Equipe de Segurança do Google V8

WebKit Bugzilla: 292621

CVE-2025-43213: Equipe de Segurança do Google V8

WebKit Bugzilla: 293197

CVE-2025-43212: Nan Wang (@eternalsakura13) e Ziling Chen

WebKit

Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 293730

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei

WebKit

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode divulgar estados internos do app

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

WebKit Bugzilla: 294182

CVE-2025-43265: HexRabbit (@h3xr4bb1t) da Equipe de Pesquisa DEVCORE

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

WebKit Bugzilla: 295382

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

WebKit Bugzilla: 296459

CVE-2025-6558: Clément Lecigne e Vlad Stolyarov do Threat Analysis Group do Google

Outros reconhecimentos

Accessibility

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da C-DAC Thiruvananthapuram India, Hamza BHP, Himanshu Bharti (@Xpl0itme) pela ajuda.

Activation Lock

Gostaríamos de agradecer a salemdomain pela ajuda.

Bluetooth

Gostaríamos de agradecer a LIdong LI, Xiao Wang, Shao Dong Chen e Chao Tan da Source Guard pela ajuda.

CoreAudio

Gostaríamos de agradecer a Noah Weinberg pela ajuda.

Device Management

Gostaríamos de agradecer a Al Karak pela ajuda.

libxml2

Gostaríamos de agradecer a Sergei Glazunov do Google Project Zero pela ajuda.

libxslt

Gostaríamos de agradecer a Ivan Fratric do Google Project Zero pela ajuda.

Managed Configuration

Gostaríamos de agradecer a Bill Marczak do The Citizen Lab da Munk School da Universidade de Toronto pela ajuda.

Photos

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Safari

Gostaríamos de agradecer a Ameen Basha M K pela ajuda.

Shortcuts

Gostaríamos de agradecer a Dennis Kniep pela ajuda.

Siri

Gostaríamos de agradecer a Timo Hetzel pela ajuda.

WebKit

Gostaríamos de agradecer à Equipe de Segurança do Google V8, Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei, rheza (@ginggilBesel) pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 01 de agosto de 2025