Despre conținutul de securitate din iOS 18.5 și iPadOS 18.5

Acest document descrie conținutul de securitate din iOS 18.5 și iPadOS 18.5.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 18.5 și iPadOS 18.5

Lansare: 12 mai 2025

AppleJPEG

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 7-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.

CVE-2025-31251: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

Baseband

Disponibilitate pentru: iPhone 16e

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea intercepta traficul de rețea

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-31214: 秦若涵, 崔志伟 și 崔宝江

Call History

Disponibilitate pentru: iPhone XS și modele ulterioare

Impact: istoricul apelurilor din aplicațiile șterse poate apărea în continuare în rezultatele căutărilor Spotlight

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.

CVE-2025-31225: Deval Jariwala

Core Bluetooth

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-31212: Guilherme Rambo de la Best Buddy Apps (rambo.codes)

CoreAudio

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-31208: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreGraphics

Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-31209: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreMedia

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-31239: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreMedia

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.

CVE-2025-31233: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

FaceTime

Impact: dezactivarea sunetului microfonului în timpul unui apel FaceTime poate să nu oprească sunetul

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-31253: Dalibor Milanovic

FaceTime

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea interfeței cu utilizatorul.

CVE-2025-31210: Andrew James Gonzalez

FrontBoard

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31207: YingQi Shi (@Mas0nShi) de la DBAppSecurity's WeBin lab, Duy Trần (@khanhduytran0)

iCloud Document Sharing

Impact: un atacator ar putea activa partajarea unui dosar iCloud fără autentificare

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-30448: Dayton Pidhirney de la Atredis Partners, Lyutoon și YenKoc

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31226: Saagar Jha

Kernel

Impact: un atacator la distanță poate provoca închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24224: Tony Iskow (@Tybbow)

Intrare adăugată pe 29 iulie 2025

Kernel

Impact: un atacator poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-31219: Michael DePlante (@izobashi) și Lucas Leong (@_wmliang_) de la Trend Micro Zero Day Initiative

Kernel

Impact: un atacator de la distanță poate provoca o închidere neașteptată a aplicației

Descriere: o problemă de eliberare dublă a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-31241: Christian Kohlschütter

libexpat

Impact: mai multe probleme în libexpat, inclusiv închiderea neașteptată a aplicației sau executarea arbitrară de cod

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-8176

Mail Addressing

Impact: procesarea unui e-mail poate cauza falsificarea interfeței cu utilizatorul

Descriere: a fost rezolvată o problemă de injectare prin îmbunătățirea validării intrării.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

mDNSResponder

Impact: un utilizator poate să acorde privilegii superioare

Descriere: o problemă de corectitudine a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31222: Paweł Płatek de la Trail of Bits

Notes

Impact: un atacator cu acces fizic la un dispozitiv poate accesa note din ecranul de blocare

Descriere: problema a fost rezolvată prin îmbunătățirea autentificării.

CVE-2025-31228: Andr.Ess

Notes

Disponibilitate pentru: iPhone XS și modele ulterioare

Impact: un atacator cu acces fizic la un dispozitiv poate accesa o înregistrare a unui apel șters

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31227: Shehab Khan

Pro Res

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-31245: wac

Pro Res

Impact: un atacator poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.

CVE-2025-31234: CertiK (@CertiK)

Security

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2025-31221: Dave G.

WebKit

Impact: o problemă de confundare a tipurilor ar putea conduce la coruperea memoriei

Descriere: această problemă a fost remediată prin gestionarea îmbunătățită a elementelor float.

WebKit Bugzilla: 286694

CVE-2025-24213: Google V8 Security Team

WebKit

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 289387

CVE-2025-31223: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

WebKit Bugzilla: 289653

CVE-2025-31238: wac în colaborare cu Trend Micro Zero Day Initiative

WebKit

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 287577

CVE-2025-24223: rheza (@ginggilBesel) și un cercetător anonim

WebKit Bugzilla: 291506

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

WebKit Bugzilla: 289677

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 288814

CVE-2025-31215: Jiming Wang și Jikai Ren

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.

WebKit Bugzilla: 290834

CVE-2025-31206: un cercetător anonim

WebKit

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 290992

CVE-2025-31205: Ivan Fratric (Google Project Zero)

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: această problemă a fost remediată prin gestionarea îmbunătățită a memoriei.

WebKit Bugzilla: 290985

CVE-2025-31257: Juergen Schmied de la Lynck GmbH

Alte mențiuni

AirDrop

Dorim să îi mulțumim lui Dalibor Milanovic pentru asistența acordată.

Kernel

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

libnetcore

Dorim să îi mulțumim lui Hoffcona de la ByteDance IES Red Team pentru asistența acordată.

Messages

Dorim să îi mulțumim lui Paulo Henrique Batista Rosa de Castro (@paulohbrc) pentru asistența acordată.

MobileGestalt

Dorim să îi mulțumim lui iisBuri pentru asistența acordată.

MobileLockdown

Dorim să îi mulțumim lui Matthias Frielingsdorf (@helthydriver) de la iVerify și unui cercetător anonim pentru asistența acordată.

NetworkExtension

Dorim să îi mulțumim lui Andrei-Alexandru Bleorțu pentru asistența acordată.

Phone

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) din cadrul C-DAC Thiruvananthapuram India pentru asistența acordată.

Photos

Dorim să îi mulțumim lui Yusuf Kelany pentru asistența acordată.

Safari

Dorim să le mulțumim lui Akash Labade și lui Narendra Bhati, Manager Securitate Cibernetică la Suma Soft Pvt. Ltd, Pune (India) pentru asistența acordată.

Screenshots

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Shortcuts

Dorim să le mulțumim lui Candace Jensen de la Kandji, Chi Yuan Chang de la ZUSO ART și taikosoup, Egor Filatov (Positive Technologies) și Monnier Pascaud pentru asistența acordată.

Siri Suggestions

Dorim să-i mulțumim lui Jake Derouin (jakederouin.com) pentru asistența acordată.

Spotlight

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) din cadrul C-DAC Thiruvananthapuram India pentru asistența acordată.

WebKit

Dorim să le mulțumim lui Mike Dougherty și Daniel White de la Google Chrome și unui cercetător anonim pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 31 iulie 2025