Om säkerhetsinnehållet i iOS 18.3 och iPadOS 18.3
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 18.3 och iPadOS 18.3.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apple Product Security.
iOS 18.3 och iPadOS 18.3
Släpptes 27 januari 2025
Accessibility
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare med fysisk åtkomst till en olåst enhet kan komma åt Bilder när appen är låst
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram Indien
AirPlay
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare på det lokala nätverket kan korrumpera processminnet
Beskrivning: Ett problem med indatavalidering åtgärdades.
CVE-2025-24126: Uri Katz (Oligo Security)
Uppdaterades 28 april 2025
AirPlay
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare på det lokala nätverket kan orsaka ett oväntat systemavslut
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
CVE-2025-24129: Uri Katz (Oligo Security)
Uppdaterades 28 april 2025
AirPlay
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2025-24131: Uri Katz (Oligo Security)
Uppdaterades 28 april 2025
AirPlay
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp
Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.
CVE-2025-24177: Uri Katz (Oligo Security)
CVE-2025-24179: Uri Katz (Oligo Security)
Uppdaterades 28 april 2025
AirPlay
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare på det lokala nätverket kan korrumpera processminnet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
CVE-2025-24137: Uri Katz (Oligo Security)
Uppdaterades 28 april 2025
ARKit
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu och Xingwei Lin från Zhejiang University
CoreAudio
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2025-24123: Desmond i samarbete med Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car och Rotiple (HyeongSeok Jang) i samarbete med Trend Micro Zero Day Initiative
CoreMedia
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Ett program med skadligt innehåll kanske kan öka behörigheten. Apple känner till en rapport om att det här problemet kanske kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 17.2.
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2025-24085
CoreMedia Playback
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan orsaka ett oväntat systemavslut
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) och Lee Dong Ha (Who4mI)
Lades till den 16 maj 2025
Display
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan orsaka ett oväntat systemavslut
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2025-24111: Wang Yu på Cyberserval
Lades till 12 maj 2025
ImageIO
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av en bild kan leda till ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2025-24086: DongJun Kim (@smlijun) och JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n
Kernel
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan läcka känsliga kerneltillstånd
Beskrivning: Ett problem med avslöjande av information åtgärdades genom borttagning av den sårbara koden.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Lades till 12 maj 2025
Kernel
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En skadlig app kanske kan få rotbehörighet
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2025-24107: en anonym forskare
Kernel
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Libnotify
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan orsaka ett DoS-angrepp
Beskrivning: En app kan imitera systemmeddelanden. Känsliga meddelanden kräver nu begränsade rättigheter.
CVE-2025-24091: Guilherme Rambo på Best Buddy Apps (rambo.codes)
Uppdaterades 30 april 2025
libxslt
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch
Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.
CVE-2024-55549: Ivan Fratric på Google Project Zero
CVE-2025-24855: Ivan Fratric på Google Project Zero
Uppdaterades den 16 maj 2025
Managed Configuration
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Att återskapa en säkerhetskopia med skadlig struktur kan leda till modifiering av skyddade systemfiler
Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
PackageKit
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan ändra skyddade delar av filsystemet
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2025-31262: Mickey Jin (@patch1t)
Lades till den 16 maj 2025
Passkeys
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan få obehörig åtkomst till Bluetooth
Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.
CVE-2024-9956: mastersplinter
Safari
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bilder i fotoalbumet Gömda kan visas utan autentisering
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2025-31185: Jason Gendron (@gendron_jason), 이준성 (Junsung Lee)
Lades till den 16 maj 2025
Safari
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas
Beskrivning: Problemet åtgärdades genom utökad logik.
CVE-2025-24128: @RenwaX23
Safari
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Problemet hanterades med förbättrat användargränssnitt.
CVE-2025-24113: @RenwaX23
SceneKit
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Tolkning av en fil kan leda till att användarinformation avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2025-24149: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
Time Zone
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan visa en kontakts telefonnummer i systemloggar
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2025-24145: Kirin (@Pwnrin)
WebContentFilter
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare kan orsaka oväntad systemavstängning eller korrumpera kernelminnet
Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2025-24154: En anonym forskare
WebKit
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 284332
CVE-2025-24189: en anonym forskare
Posten lades till den 16 maj 2025
WebKit
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En skadlig webbsida kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades med förbättrade åtkomstbegränsningar för filsystemet.
WebKit Bugzilla: 283117
CVE-2025-24143: en anonym forskare
WebKit
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) från NUS CuriOSity och P1umer (@p1umer) från Imperial Global Singapore.
WebKit
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy från HKUS3Lab och chluo från WHUSecLab
WebKit Web Inspector
Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Kopiering av en webbadress från Web Inspector kan leda till kommandoinmatning
Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av filer.
WebKit Bugzilla: 283718
CVE-2025-24150: Johan Carlsson (joaxcar)
Ytterligare tack
Accessibility
Vi vill tacka Abhay Kailasia (@abhay_kailasia) på LNCT Bhopal och C-DAC Thiruvananthapuram Indien för hjälpen.
AirPlay
Vi vill tacka Uri Katz (Oligo Security) för hjälpen.
Lades till 28 april 2025
Audio
Vi vill tacka Google Threat Analysis Group för hjälpen.
CoreAudio
Vi vill tacka Google Threat Analysis Group för hjälpen.
Files
Vi vill tacka Chi Yuan Chang på ZUSO ART och taikosoup för hjälpen.
iCloud
Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College of Technology Bhopal Indien, George Kovaios, Srijan Poudel för hjälpen.
Lades till den 16 maj 2025
Notiser
Vi vill tacka Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal India, Xingjian Zhao (@singularity-s0) för hjälpen.
Passwords
Vi vill tacka Talal Haj Bakry och Tommy Mysk från Mysk Inc. @mysk_co för hjälpen.
Phone
Vi vill tacka Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram India och en anonym forskare för hjälpen.
Screenshots
Vi vill tacka Yannik Bloscheck (yannikbloscheck.com) för hjälpen.
Sleep
Vi vill tacka Abhay Kailasia (@abhay_kailasia) på LNCT Bhopal och C-DAC Thiruvananthapuram Indien för hjälpen.
Static Linker
Vi vill tacka Holger Fuhrmannek för hjälpen.
VoiceOver
Vi vill tacka Bistrit Dahal, Dalibor Milanovic för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.