Om säkerhetsinnehållet i iOS 18.6 och iPadOS 18.6

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 18.6 och iPadOS 18.6.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 18.6 och iPadOS 18.6

Accessibility

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Lösenkod kan eventuellt läsas upp högt av VoiceOver

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Integritetsindikatorer för mikrofon- eller kameraåtkomst kan eventuellt visas felaktigt

Beskrivning: Problemet åtgärdades genom utökad logik.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43186: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CFNetwork

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En icke-behörig användare kan ändra begränsade nätverksinställningar

Beskrivning: Ett dos-problem åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2025-43223: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

CoreAudio

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig ljudfil kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43277: Googles Threat Analysis Group

CoreMedia

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43210: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreMedia Playback

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.

CVE-2025-43230: Chi Yuan Chang på ZUSO ART och taikosoup

ICU

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43209: Gary Kwong i samarbete med Trend Micro Zero Day Initiative

ImageIO

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-43226

libnetcore

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en fil kan leda till minnesfel

Beskrivning: Problemet åtgärdades med förbättrad minneshantering.

CVE-2025-43202: Brian Carpenter

libxml2

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en fil kan leda till minnesfel

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID:t på cve.org.

CVE-2025-7425: Sergei Glazunov på Google Project Zero

libxslt

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-7424: Ivan Fratric på Google Project Zero

Mail Drafts

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Fjärrinnehåll kan eventuellt läsas in även när Läs in fjärrinnehåll-inställningarna är avstängda

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig textur kan leda till oväntad appavslutning

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2025-43234: Vlad Stolyarov på Googles Threat Analysis Group

Model I/O

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43224: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

CVE-2025-43221: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

Model I/O

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad minneshantering.

CVE-2025-31281: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: Problemet hanterades med förbättrat användargränssnitt.

CVE-2025-43228: Jaydev Ahire

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-43227: Gilad Moav

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu och Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu och Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu och Xiaojie Wei

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43214: shandikri i samarbete med Trend Micro Zero Day Initiative, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) och Ziling Chen

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu och Xiaojie Wei

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja appens interna tillstånd

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) från DEVCORE Research Team

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID:t på cve.org.

CVE-2025-6558: Clément Lecigne och Vlad Stolyarov på Googles Threat Analysis Group

Ytterligare tack

Accessibility

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram India, Hamza BHP, Himanshu Bharti (@Xpl0itme) för hjälpen.

Activation Lock

Vi vill tacka salemdomain för hjälpen.

Bluetooth

Vi vill tacka LIdong LI, Xiao Wang, Shao Dong Chen och Chao Tan på Source Guard för hjälpen.

CoreAudio

Vi vill tacka Noah Weinberg för hjälpen.

Device Management

Vi vill tacka Al Karak för hjälpen.

libxml2

Vi vill tacka Sergei Glazunov på Google Project Zero för hjälpen.

libxslt

Vi vill tacka Ivan Fratric på Google Project Zero för hjälpen.

Managed Configuration

Vi vill tacka Bill Marczak på The Citizen Lab på University of Torontos Munk School för hjälpen.

Photos

Vi vill tacka en anonym forskare för hjälpen.

Safari

Vi vill tacka Ameen Basha M K för hjälpen.

Shortcuts

Vi vill tacka Dennis Kniep för hjälpen.

Siri

Vi vill tacka Timo Hetzel för hjälpen.

WebKit

Vi vill tacka Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu och Xiaojie Wei, rheza (@ginggilBesel) för hjälpen.