Om säkerhetsinnehållet i iOS 18.3 och iPadOS 18.3

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 18.3 och iPadOS 18.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 18.3 och iPadOS 18.3

Släpptes 27 januari 2025

Accessibility

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med fysisk åtkomst till en olåst enhet kan komma åt Bilder när appen är låst

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram Indien

AirPlay

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare på det lokala nätverket kan korrumpera processminnet

Beskrivning: Ett problem med indatavalidering åtgärdades.

CVE-2025-24126: Uri Katz (Oligo Security)

Uppdaterades 28 april 2025

AirPlay

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare på det lokala nätverket kan orsaka ett oväntat systemavslut

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2025-24129: Uri Katz (Oligo Security)

Uppdaterades 28 april 2025

AirPlay

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24131: Uri Katz (Oligo Security)

Uppdaterades 28 april 2025

AirPlay

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2025-24177: Uri Katz (Oligo Security)

CVE-2025-24179: Uri Katz (Oligo Security)

Uppdaterades 28 april 2025

AirPlay

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare på det lokala nätverket kan korrumpera processminnet

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2025-24137: Uri Katz (Oligo Security)

Uppdaterades 28 april 2025

ARKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu och Xingwei Lin från Zhejiang University

CoreAudio

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24123: Desmond i samarbete med Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car och Rotiple (HyeongSeok Jang) i samarbete med Trend Micro Zero Day Initiative

CoreMedia

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Ett program med skadligt innehåll kanske kan öka behörigheten. Apple känner till en rapport om att det här problemet kanske kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 17.2.

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2025-24085

CoreMedia Playback

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) och Lee Dong Ha (Who4mI)

Lades till den 16 maj 2025

Display

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2025-24111: Wang Yu på Cyberserval

Lades till 12 maj 2025

ImageIO

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24086: DongJun Kim (@smlijun) och JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Ett problem med avslöjande av information åtgärdades genom borttagning av den sårbara koden.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Lades till 12 maj 2025

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En skadlig app kanske kan få rotbehörighet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-24107: en anonym forskare

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Libnotify

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: En app kan imitera systemmeddelanden. Känsliga meddelanden kräver nu begränsade rättigheter.

CVE-2025-24091: Guilherme Rambo på Best Buddy Apps (rambo.codes)

Uppdaterades 30 april 2025

libxslt

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-55549: Ivan Fratric på Google Project Zero

CVE-2025-24855: Ivan Fratric på Google Project Zero

Uppdaterades den 16 maj 2025

Managed Configuration

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Att återskapa en säkerhetskopia med skadlig struktur kan leda till modifiering av skyddade systemfiler

Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

PackageKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan ändra skyddade delar av filsystemet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-31262: Mickey Jin (@patch1t)

Lades till den 16 maj 2025

Passkeys

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan få obehörig åtkomst till Bluetooth

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-9956: mastersplinter

Safari

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bilder i fotoalbumet Gömda kan visas utan autentisering

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-31185: Jason Gendron (@gendron_jason), 이준성 (Junsung Lee)

Lades till den 16 maj 2025

Safari

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: Problemet åtgärdades genom utökad logik.

CVE-2025-24128: @RenwaX23

Safari

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Problemet hanterades med förbättrat användargränssnitt.

CVE-2025-24113: @RenwaX23

SceneKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en fil kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-24149: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

Time Zone

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan visa en kontakts telefonnummer i systemloggar

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare kan orsaka oväntad systemavstängning eller korrumpera kernelminnet

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-24154: En anonym forskare

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 284332

CVE-2025-24189: en anonym forskare

Posten lades till den 16 maj 2025

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Problemet åtgärdades med förbättrade åtkomstbegränsningar för filsystemet.

WebKit Bugzilla: 283117

CVE-2025-24143: en anonym forskare

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) från NUS CuriOSity och P1umer (@p1umer) från Imperial Global Singapore.

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy från HKUS3Lab och chluo från WHUSecLab

WebKit Web Inspector

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Kopiering av en webbadress från Web Inspector kan leda till kommandoinmatning

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av filer.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Ytterligare tack

Accessibility

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på LNCT Bhopal och C-DAC Thiruvananthapuram Indien för hjälpen.

AirPlay

Vi vill tacka Uri Katz (Oligo Security) för hjälpen.

Lades till 28 april 2025

Audio

Vi vill tacka Google Threat Analysis Group för hjälpen.

CoreAudio

Vi vill tacka Google Threat Analysis Group för hjälpen.

Files

Vi vill tacka Chi Yuan Chang på ZUSO ART och taikosoup för hjälpen.

iCloud

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College of Technology Bhopal Indien, George Kovaios, Srijan Poudel för hjälpen.

Lades till den 16 maj 2025

Notiser

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal India, Xingjian Zhao (@singularity-s0) för hjälpen.

Passwords

Vi vill tacka Talal Haj Bakry och Tommy Mysk från Mysk Inc. @mysk_co för hjälpen.

Phone

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram India och en anonym forskare för hjälpen.

Screenshots

Vi vill tacka Yannik Bloscheck (yannikbloscheck.com) för hjälpen.

Sleep

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på LNCT Bhopal och C-DAC Thiruvananthapuram Indien för hjälpen.

Static Linker

Vi vill tacka Holger Fuhrmannek för hjälpen.

VoiceOver

Vi vill tacka Bistrit Dahal, Dalibor Milanovic för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: