Obsah zabezpečenia v systémoch iOS 18.7.2. a iPadOS 18.7.2

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 18.7.2 a iPadOS 18.7.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 18.7.2 a iPadOS 18.7.2

Accessibility

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná určiť, aké ďalšie apky má používateľ nainštalované

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43442: Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance

App Store

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43444: Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance

Audio

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Útočiaca osoba s fyzickým prístupom k odomknutému zariadeniu spárovanému s Macom môže byť schopná zobraziť si citlivé informácie používateľa v protokolovaní systému

Opis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať informácie o aktuálnom obraze kamery ešte pred tým, ako získa povolenie na prístup ku kamere

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-43450: Dennis Briner

CloudKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Opis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreText

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43445: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Find My

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Popis: Dochádzalo k problému s ochranou súkromia, ktorý sa vyriešil presunutím citlivých údajov.

CVE-2025-43507: iisBuri

Installer

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43444: Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance

Kernel

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Mail

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Vzdialený obsah sa môže načítať aj v prípade, že nastavenie Načítať vzdialené obrázky je vypnuté

Popis: Problém bol vyriešený pridaním ďalšej logiky.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme From Khatima

MetricKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Proces bez oprávnení môže byť schopný ukončovať procesy používateľa root

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43365: Minghao Lin (@Y1nKoc), Lyutoon (@Lyutoon_) a YingQi Shi (@Mas0n)

Model I/O

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43386: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2025-43383: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2025-43385: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2025-43384: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

Model I/O

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43377: BynarIO AI (bynar.io)

Notes

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Opis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2025-43439: Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance

Safari

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-43493: @RenwaX23

Safari

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Opis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43503: @RenwaX23

Shortcuts

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-43499: anonymný výskumník

Siri

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Môže sa stať, že zariadenie trvale nebude možné zamknúť

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-43454: Joshua Thomas

Siri

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Opis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2025-43399: Kirin (@Pwnrin), Cristian Dinca (icmd.tech)

Spotlight

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.

CVE-2025-43418: Dalibor Milanovic

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

VE-2025-43438: shandikri v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2025-43434: Google Big Sleep

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-43458: Phil Beauvoir

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen z tímu Google

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43429: Google Big Sleep

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-43443: anonymný výskumník

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Apka môže byť schopná monitorovať stlačené klávesy bez používateľského povolenia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit Canvas

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Webová stránka môže stiahnuť dáta obrázkov z iného miesta

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-43392: Tom Van Goethem

Ďalšie poďakovanie

Mail

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Shortcuts

Poďakovanie za pomoc si zaslúži Andrew James Gonzalez.

WebKit

Poďakovanie za pomoc si zaslúžia Enis Maholli (enismaholli.com) a Google Big Sleep.