Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 18.7.2 и iPadOS 18.7.2

В этом документе описаны проблемы системы безопасности, устраняемые обновлениями iOS 18.7.2 и iPadOS 18.7.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iOS 18.7.2 и iPadOS 18.7.2

Дата выпуска: 5 ноября 2025 г.

Accessibility

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и более поздних моделей, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 7-го поколения и более поздних моделей, iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43442: Zhongcheng Li из отдела IES Red компании ByteDance

App Store

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43444: Zhongcheng Li из отдела IES Red компании ByteDance

Audio

Воздействие. Злоумышленник с физическим доступом к разблокированному устройству, сопряженному с Mac, может получить доступ к конфиденциальной информации пользователя через системные журналы.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Воздействие. Программа может получить информацию о текущем видоискателе камеры до получения доступа к камере.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43450: Dennis Briner

CloudKit

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreText

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43445: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Find My

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема конфиденциальности устранена путем переноса важных данных.

CVE-2025-43507: iisBuri

Installer

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43444: Zhongcheng Li из отдела IES Red компании ByteDance

Kernel

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Mail

Воздействие. Контент из удаленных источников может загружаться, даже когда отключен параметр «Загружать внешние изображения».

Описание. Проблема устранена путем добавления дополнительной логики.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme из Khatima

MetricKit

Воздействие. Непривилегированный процесс может завершить root-процесс

Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.

CVE-2025-43365: Minghao Lin (@Y1nKoc), Lyutoon (@Lyutoon_) и YingQi Shi (@Mas0n)

Model I/O

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43386: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Model I/O

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43377: BynarIO AI (bynar.io)

Notes

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности устранена путем удаления уязвимого кода.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2025-43439: Zhongcheng Li из отдела IES Red компании ByteDance

Safari

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-43493: @RenwaX23

Safari

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-43503: @RenwaX23

Shortcuts

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-43499: анонимный исследователь

Siri

Воздействие. Устройство может постоянно не блокироваться.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43454: Joshua Thomas

Siri

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2025-43399: Kirin (@Pwnrin), Cristian Dinca (icmd.tech)

Spotlight

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.

Описание. Эта проблема устранена путем ограничения предлагаемых вариантов на заблокированном устройстве.

CVE-2025-43418: Dalibor Milanovic

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Big Sleep от Google

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 298093

CVE-2025-43433: Big Sleep от Google

WebKit Bugzilla: 298194

CVE-2025-43431: Big Sleep от Google

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen из Google

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

WebKit Bugzilla: 298232

CVE-2025-43429: Big Sleep от Google

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверок.

WebKit Bugzilla: 299843

CVE-2025-43443: анонимный исследователь

WebKit

Воздействие. Приложение может получить доступ к отслеживанию нажатий клавиш без разрешения пользователя.

Описание. Проблема устранена путем улучшенной проверки.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit Canvas

Воздействие. Веб-сайт может передавать данные изображений между разными источниками.

Описание. Проблема устранена путем улучшенной обработки кэшей.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Дополнительные благодарности

Mail

Выражаем благодарность за помощь анонимному исследователю.

Shortcuts

Выражаем благодарность за помощь Andrew James Gonzalez.

WebKit

Выражаем благодарность за помощь пользователю Enis Maholli (enismaholli.com), инструмент Big Sleep от Google.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 10 ноября 2025 г.