Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 18.7.3 и iPadOS 18.7.3

В этом документе описаны проблемы системы безопасности, устраняемые обновлениями iOS 18.7.3 и iPadOS 18.7.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iOS 18.7.3 и iPadOS 18.7.3

AppleJPEG

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Call History

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Злоумышленник может подделывать идентификатор абонента FaceTime.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-46287: анонимный исследователь, Riley Walz

curl

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обнаружен ряд проблем в curl.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. В полях паролей могут случайно отображаться пароли во время удаленного управления устройствами через FaceTime.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43542: Yiğit Ocak

Foundation

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обработка вредоносных данных может приводить к неожиданному прекращению работы приложения.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки границ.

CVE-2025-43532: Andrew Calvano и Lucas Pinheiro из отдела безопасности продуктов Meta

Icons

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Приложение может повышать уровень привилегий.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43512: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

Kernel

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема целочисленного переполнения устранена путем внедрения 64-разрядных меток времени.

CVE-2025-46285: Kaitao Xie и Xiaolong Bai из Alibaba Group

libarchive

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-5918

Сообщения

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема утечки информации устранена путем улучшения контроля конфиденциальности.

CVE-2025-46276: Rosyna Keller из Totally Not Malicious Software

Экранное время

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43538: Iván Savransky

Настройки

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения проверок.

CVE-2025-43530: Mickey Jin (@patch1t)

Telephony

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-46292: Rosyna Keller из Totally Not Malicious Software

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43535: Nan Wang (@eternalsakura13), Google Big Sleep

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.

CVE-2025-43541: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2025-43501: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2025-43531: Phil Pizlo из Epic Games

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-14174.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43529: подразделение Threat Analysis Group компании Google

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения или более поздние модели, iPad Pro 11 дюймов 1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 7-го поколения или более поздние модели, а также iPad mini 5-го поколения или более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-43529.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2025-14174: подразделения Threat Analysis Group компаний Apple и Google

Дополнительные благодарности

Siri

Выражаем благодарность за помощь Richard Hyunho Im (@richeeta) из Route Zero Security (routezero.security).