Obsah zabezpečenia v systémoch iOS 18.5 a iPadOS 18.5

V tomto dokumente sa popisuje obsah zabezpečenia v systémoch iOS 18.5 a iPadOS 18.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 18.5 a iPadOS 18.5

AppleJPEG

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31251: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Baseband

Dostupné pre: iPhone 16e

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-31214: 秦若涵, 崔志伟 a 崔宝江

Call History

Dostupné pre: iPhone XS a novší

Dopad: História hovorov z vymazaných apiek sa môže naďalej zobrazovať vo výsledkoch vyhľadávania Spotlightu

Popis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2025-31225: Deval Jariwala

Core Bluetooth

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-31212: Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)

CoreAudio

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31208: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreGraphics

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dosah: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-31209: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-31239: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31233: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

FaceTime

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Vypnutie mikrofónu počas hovoru FaceTime nemusí viesť k stíšeniu zvuku

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-31253: Dalibor Milanovic

FaceTime

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Tento problém bol vyriešený vylepšením používateľského rozhrania.

CVE-2025-31210: Andrew James Gonzalez

FrontBoard

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31207: YingQi Shi (@Mas0nShi) z laboratória WeBin tímu DBAppSecurity a Duy Trần (@khanhduytran0)

iCloud Document Sharing

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Útočník môže byť schopný zapnúť zdieľanie priečinka v iCloude bez overenia

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-30448: Dayton Pidhirney z tímu Atredis Partners, Lyutoon a YenKoc

ImageIO

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31226: Saagar Jha

Kernel

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie činnosti systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31219: Michael DePlante (@izobashi) a Lucas Leong (@_wmliang_) z projektu Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie

Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31241: Christian Kohlschütter

libexpat

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Viacero problémov v komponente libexpat vrátane neočakávaného ukončenia apky alebo spustenia ľubovoľného kódu

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-8176

Mail Addressing

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie e-mailu môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Opis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

mDNSResponder

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Notes

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Útočník s fyzickým prístupom k zariadeniu môže byť schopný získať prístup k poznámkam zo zamknutej obrazovky

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2025-31228: Andr.Ess

Notes

Dostupné pre: iPhone XS a novší

Dopad: Útočník s fyzickým prístupom k zariadeniu môže byť schopný získať prístup k vymazanému záznamu hovoru

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31227: Shehab Khan

Pro Res

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31245: wac

Pro Res

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31234: CertiK (@CertiK)

Security

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-31221: Dave G.

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Problém so zámenou typu môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením spracovania floatov.

CVE-2025-24213: Google V8 Security Team

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31223: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

CVE-2025-31238: wac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24223: rheza (@ginggilBesel) a anonymný výskumník

CVE-2025-31204: Nan Wang (@eternalsakura13)

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31215: Jiming Wang a Jikai Ren

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-31206: Anonymný výskumník

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31205: Ivan Fratric z tímu Google Project Zero

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Tento problém bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31257: Juergen Schmied z tímu Lynck GmbH

Ďalšie poďakovanie

AirDrop

Poďakovanie za pomoc si zaslúži Dalibor Milanovic.

Kernel

Poďakovanie za pomoc si zaslúži anonymný výskumník.

libnetcore

Poďakovanie za pomoc si zaslúži Hoffcona z tímu ByteDance IES Red Team.

Messages

Poďakovanie za pomoc si zaslúži Paulo Henrique Batista Rosa de Castro (@paulohbrc).

MobileGestalt

Poďakovanie za pomoc si zaslúži iisBuri.

MobileLockdown

Poďakovanie za pomoc si zaslúžia Matthias Frielingsdorf (@helthydriver) z tímu iVerify a anonymný výskumník.

NetworkExtension

Poďakovanie za pomoc si zaslúži Andrei-Alexandru Bleorțu.

Phone

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii.

Photos

Za pomoc by sme chceli poďakovať Yusufovi Kelanymu.

Safari

Poďakovanie za pomoc si zaslúžia Akash Labade a Narendra Bhati, manažér kyberbezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India).

Screenshots

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Shortcuts

Poďakovanie za pomoc si zaslúžia Candace Jensen z tímu Kandji, Chi Yuan Chang z tímu ZUSO ART a taikosoup, Egor Filatov (Positive Technologies) a Monnier Pascaud.

Siri Suggestions

Poďakovanie za pomoc si zaslúži Jake Derouin (jakederouin.com).

Spotlight

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii.

WebKit

Poďakovanie za pomoc si zaslúžia Mike Dougherty a Daniel White z tímu Google Chrome a anonymný výskumník.