Despre conținutul de securitate din iOS 18.6 și iPadOS 18.6

Acest document descrie conținutul de securitate din iOS 18.6 și iPadOS 18.6.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 18.6 și iPadOS 18.6

Data lansării: 29 iulie 2025

Accessibility

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 7-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: codul de acces poate fi citit cu voce tare de VoiceOver

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Impact: este posibil ca indicatorii de confidențialitate pentru accesul la microfon sau cameră să nu fie afișați corect

Descriere: problema a fost rezolvată prin adăugarea unei logici suplimentare.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43186: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CFNetwork

Impact: un utilizator neprivilegiat poate să modifice configurări de rețea restricționate

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării intrării.

CVE-2025-43223: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

CoreAudio

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43277: Threat Analysis Group din cadrul Google

CoreMedia

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43210: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CoreMedia Playback

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.

CVE-2025-43230: Chi Yuan Chang de la ZUSO ART și taikosoup

ICU

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43209: Gary Kwong în colaborare cu Trend Micro Zero Day Initiative

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-43226

libnetcore

Impact: procesarea unui fișier poate cauza coruperea memoriei

Descriere: această problemă a fost remediată prin gestionarea îmbunătățită a memoriei.

CVE-2025-43202: Brian Carpenter

libxml2

Impact: procesarea unui fișier poate cauza coruperea memoriei

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Aflați mai multe despre problemă și CVE-ID la adresa cve.org.

CVE-2025-7425: Sergei Glazunov de la Google Project Zero

libxslt

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-7424: Ivan Fratric de la Google Project Zero

Mail Drafts

Impact: conținutul extern poate fi încărcat chiar și atunci când configurarea „Încărcare imagini externe” este dezactivată

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

Impact: procesarea unei texturi create cu rea intenție ar putea cauza închiderea neașteptată a aplicației

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2025-43234: Vlad Stolyarov de la Threat Analysis Group din cadrul Google

Model I/O

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43224: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2025-43221: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Model I/O

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea tratării memoriei.

CVE-2025-31281: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

WebKit

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: problema a fost remediată prin îmbunătățirea interfeței cu utilizatorul.

WebKit Bugzilla: 294374

CVE-2025-43228: Jaydev Ahire

WebKit

Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 292888

CVE-2025-43227: Gilad Moav

WebKit

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 291742

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu și Xiaojie Wei

WebKit Bugzilla: 291745

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu și Xiaojie Wei

WebKit Bugzilla: 293579

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu și Xiaojie Wei

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 292599

CVE-2025-43214: shandikri în colaborare cu Trend Micro Zero Day Initiative, Google V8 Security Team

WebKit Bugzilla: 292621

CVE-2025-43213: Google V8 Security Team

WebKit Bugzilla: 293197

CVE-2025-43212: Nan Wang (@eternalsakura13) și Ziling Chen

WebKit

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 293730

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu și Xiaojie Wei

WebKit

Impact: procesarea conținutului unui site web creat cu rea intenție poate dezvălui stările interne ale aplicației

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

WebKit Bugzilla: 294182

CVE-2025-43265: HexRabbit (@h3xr4bb1t) de la DEVCORE Research Team

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 295382

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

WebKit Bugzilla: 296459

CVE-2025-6558: Clément Lecigne și Vlad Stolyarov de la Threat Analysis Group din cadrul Google

Alte mențiuni

Accessibility

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la C-DAC Thiruvananthapuram India, Hamza BHP, Himanshu Bharti (@Xpl0itme) pentru asistența acordată.

Activation Lock

Dorim să îi mulțumim lui salemdomain pentru asistența acordată.

Bluetooth

Dorim să le mulțumim lui LIdong LI, Xiao Wang, Shao Dong Chen și Chao Tan de la Source Guard pentru asistența acordată.

CoreAudio

Dorim să îi mulțumim lui Noah Weinberg pentru asistența acordată.

Device Management

Dorim să îi mulțumim lui Al Karak pentru asistența acordată.

libxml2

Dorim să îi mulțumim lui Sergei Glazunov de la Google Project Zero pentru asistența acordată.

libxslt

Dorim să îi mulțumim lui Ivan Fratric (Google Project Zero) pentru asistența acordată.

Managed Configuration

Dorim să îi mulțumim lui Bill Marczak de la The Citizen Lab (The University of Toronto, Munk School) pentru asistența acordată.

Photos

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Safari

Dorim să îi mulțumim lui Ameen Basha M K pentru asistența acordată.

Shortcuts

Dorim să îi mulțumim lui Dennis Kniep pentru asistența acordată.

Siri

Dorim să îi mulțumim lui Timo Hetzel pentru asistența acordată.

WebKit

Dorim să mulțumim echipei Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu și Xiaojie Wei, rheza (@ginggilBesel) pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 01 august 2025