Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 18.7.2 и iPadOS 18.7.2

В этом документе описаны проблемы системы безопасности, устраняемые обновлениями iOS 18.7.2 и iPadOS 18.7.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iOS 18.7.2 и iPadOS 18.7.2

Дата выпуска: 5 ноября 2025 г.

Accessibility

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и более поздних моделей, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 7-го поколения и более поздних моделей, iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43442: Zhongcheng Li из отдела IES Red компании ByteDance

App Store

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43444: Zhongcheng Li из отдела IES Red компании ByteDance

Audio

Воздействие. Злоумышленник, имеющий физический доступ к разблокированному устройству, сопряженному с Mac, может просматривать конфиденциальную информацию пользователя в системном журнале.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Воздействие. Программа может получить информацию о текущем видоискателе камеры до получения доступа к камере.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43450: Dennis Briner

CloudKit

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43448: Hikerell (из Loadshine Lab)

CoreText

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43445: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Find My

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема конфиденциальности устранена путем переноса важных данных.

CVE-2025-43507: iisBuri

Installer

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43444: Zhongcheng Li из отдела IES Red компании ByteDance

Kernel

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Kernel

Воздействие. Вредоносная программа может вызывать непредвиденные изменения в общей памяти, задействованной в нескольких процессах.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки состояния блокировки.

CVE-2025-43510: Apple

Запись добавлена 12 декабря 2025 г.

Kernel

Воздействие. Вредоносное приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2025-43520: Apple

Запись добавлена 12 декабря 2025 г.

Mail

Воздействие. Контент из удаленных источников может загружаться, даже когда отключен параметр «Загружать внешние изображения».

Описание. Проблема устранена путем добавления дополнительной логики.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme из Khatima

Mail

Воздействие. Злоумышленник может вызывать постоянный отказ в обслуживании.

Описание. Проблема с анализом заголовков писем устранена за счет оптимизации проверок.

CVE-2025-43494: Taavi Eomäe из Zone Media (zone.ee)

Запись добавлена 12 декабря 2025 г.

MetricKit

Воздействие. Непривилегированный процесс может завершить root-процесс

Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.

CVE-2025-43365: Minghao Lin (@Y1nKoc), Lyutoon (@Lyutoon_) и YingQi Shi (@Mas0n)

Model I/O

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43386: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Model I/O

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43377: BynarIO AI (bynar.io)

Notes

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности устранена путем удаления уязвимого кода.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2025-43439: Zhongcheng Li из отдела IES Red компании ByteDance

Safari

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-43493: @RenwaX23

Safari

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-43503: @RenwaX23

Shortcuts

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-43499: анонимный исследователь

Siri

Воздействие. Устройство может постоянно не блокироваться.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43454: Joshua Thomas

Siri

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2025-43399: Kirin (@Pwnrin), Cristian Dinca (icmd.tech)

Spotlight

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.

Описание. Эта проблема устранена путем ограничения предлагаемых вариантов на заблокированном устройстве.

CVE-2025-43418: Dalibor Milanovic

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

WebKit Bugzilla: 297662

CVE-2025-43438: rheza (@ginggilBesel) и shandikri в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

Запись обновлена 12 декабря 2025 г.

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen из Google

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверок.

WebKit Bugzilla: 299843

CVE-2025-43443: анонимный исследователь

WebKit

Воздействие. Приложение может получить доступ к отслеживанию нажатий клавиш без разрешения пользователя.

Описание. Проблема устранена путем улучшенной проверки.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit Canvas

Воздействие. Веб-сайт может извлекать данные изображений из различных источников.

Описание. Проблема устранена путем улучшенной обработки кэшей.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

WebKit Web Inspector

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

WebKit Bugzilla: 300926

CVE-2025-43511: 이동하 (Lee Dong Ha из BoB 14th)

Запись добавлена 12 декабря 2025 г.

Дополнительные благодарности

Mail

Выражаем благодарность за помощь анонимному исследователю.

Shortcuts

Выражаем благодарность за помощь Andrew James Gonzalez.

WebKit

Выражаем благодарность за помощь Enis Maholli (enismaholli.com) и отделу Google Big Sleep.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 18 декабря 2025 г.