Om säkerhetsinnehållet i iOS 18.5 och iPadOS 18.5

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 18.5 och iPadOS 18.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 18.5 och iPadOS 18.5

AppleJPEG

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Problemet åtgärdades genom förbättrad indatasanering.

CVE-2025-31251: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

Baseband

Tillgängligt för: iPhone 16e

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-31214: 秦若涵, 崔志伟 och 崔宝江

Call History

Tillgängligt för: iPhone XS och senare

Effekt: Samtalshistorik från borttagna appar kan fortfarande visas i Spotlight-sökresultaten

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2025-31225: Deval Jariwala

Core Bluetooth

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-31212: Guilherme Rambo på Best Buddy Apps (rambo.codes)

CoreAudio

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31208: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreGraphics

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en fil kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-31209: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreMedia

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-31239: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreMedia

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en videofil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Problemet åtgärdades genom förbättrad indatasanering.

CVE-2025-31233: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

FaceTime

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: När mikrofonen stängs av under ett FaceTime-samtal kanske inte ljudet tystas

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-31253: Dalibor Milanovic

FaceTime

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrat användargränssnitt.

CVE-2025-31210: Andrew James Gonzalez

FrontBoard

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-31207: YingQi Shi (@Mas0nShi) på DBAppSecuritys WeBin lab och Duy Trần (@khanhduytran0)

iCloud Document Sharing

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare kan aktivera delning av en iCloud-mapp utan autentisering

Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.

CVE-2025-30448: Dayton Pidhirney på Atredis Partners, Lyutoon och YenKoc

ImageIO

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig bild kan leda till ett dos-angrep

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-31226: Saagar Jha

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En fjärrangripare kan eventuellt orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare kan orsaka oväntad systemavstängning eller korrumpera kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-31219: Michael DePlante (@izobashi) och Lucas Leong (@_wmliang_) på Trend Micro Zero Day Initiative

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: en fjärrangripare kan orsaka ett oväntat appavslut

Beskrivning: Ett dubbelt fritt fel åtgärdades genom förbättrad minneshantering.

CVE-2025-31241: Christian Kohlschütter

libexpat

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Flera problem i libexpat, bland annat oväntat appavslut eller körning av opålitlig kod

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-8176

Mail Addressing

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av ett e-postmeddelande kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med inmatning åtgärdades genom förbättrad validering av indata.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

mDNSResponder

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En användare kanske kan öka behörigheten

Beskrivning: Ett korrekthetsfel åtgärdades med förbättrade kontroller.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Notes

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med fysisk åtkomst till en enhet kanske kan komma åt anteckningar från låsskärmen

Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.

CVE-2025-31228: Andr.Ess

Notes

Tillgängligt för: iPhone XS och senare

Effekt: En angripare med fysisk åtkomst till en enhet kanske kan komma åt en borttagen samtalsinspelning

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-31227: Shehab Khan

Pro Res

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31245: wac

Pro Res

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare kan orsaka oväntad systemavstängning eller korrumpera kernelminnet

Beskrivning: Problemet åtgärdades genom förbättrad indatasanering.

CVE-2025-31234: CertiK (@CertiK)

Security

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En fjärrangripare kan läcka minne

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2025-31221: Dave G.

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Ett problem med sammanblandning av typer kan leda till minneskorruption

Beskrivning: Problemet åtgärdades genom förbättrad hantering av flyttal.

CVE-2025-24213: Google V8 Security Team

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31223: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

CVE-2025-31238: wac i samarbete med Trend Micro Zero Day Initiative

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24223: rheza (@ginggilBesel) och en anonym forskare

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31215: Jiming Wang och Jikai Ren

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2025-31206: En anonym forskare

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31205: Ivan Fratric på Google Project Zero

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet åtgärdades med förbättrad minneshantering.

CVE-2025-31257: Juergen Schmied på Lynck GmbH

Ytterligare tack

AirDrop

Vi vill tacka Dalibor Milanovic för hjälpen.

Kernel

Vi vill tacka en anonym forskare för hjälpen.

libnetcore

Vi vill tacka Hoffcona på ByteDance IES Red Team för hjälpen.

Messages

Vi vill tacka Paulo Henrique Batista Rosa de Castro (@paulohbrc) för hjälpen.

MobileGestalt

Vi vill tacka iisBuri för hjälpen.

MobileLockdown

Vi vill tacka Matthias Frielingsdorf (@helthydriver) på iVerify och en anonym forskare för hjälpen.

NetworkExtension

Vi vill tacka Andrei-Alexandru Bleorțu för hjälpen.

Phone

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på C-DAC Thiruvananthapuram Indien för hjälpen.

Photos

Vi vill tacka Yusuf Kelany för hjälpen.

Safari

Vi vill tacka Akash Labade och Narendra Bhati, Manager of Cyber Security på Suma Soft Pvt. Ltd, Pune (India) för hjälpen.

Screenshots

Vi vill tacka en anonym forskare för hjälpen.

Shortcuts

Vi vill tacka Candace Jensen på Kandji, Chi Yuan Chang på ZUSO ART och taikosoup, Egor Filatov (Positive Technologies) och Monnier Pascaud för hjälpen.

Siri Suggestions

Vi vill tacka Jake Derouin (jakederouin.com) för hjälpen.

Spotlight

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på C-DAC Thiruvananthapuram Indien för hjälpen.

WebKit

Vi vill tacka Mike Dougherty och Daniel White på Google Chrome och en anonym forskare för hjälpen.