Проблеми системи безпеки, які усунено в оновленнях iOS 18.5 та iPadOS 18.5
У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 18.5 та iPadOS 18.5.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
iOS 18.5 та iPadOS 18.5
Дата випуску: 12 травня 2025 р.
AppleJPEG
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему усунено завдяки поліпшеній обробці вводу.
CVE-2025-31251: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Baseband
Цільові продукти: iPhone 16e
Вплив: зловмисник із привілейованим положенням у мережі може перехоплювати мережевий трафік.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-31214: 秦若涵, 崔志伟 і 崔宝江
Call History
Цільові продукти: iPhone XS і новіші моделі
Вплив: історія викликів із видалених програм може однаково відображатися в результатах пошуку в Spotlight.
Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.
CVE-2025-31225: Deval Jariwala
Core Bluetooth
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-31212: Guilherme Rambo з Best Buddy Apps (rambo.codes)
CoreAudio
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-31208: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CoreGraphics
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: аналіз файлу може призводити до розкриття інформації про користувача.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-31209: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CoreMedia
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
CVE-2025-31239: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CoreMedia
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему усунено завдяки поліпшеній обробці вводу.
CVE-2025-31233: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
FaceTime
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: після відключення мікрофона під час виклику FaceTime звук може не вимикатися.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-31253: Dalibor Milanovic
FaceTime
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.
CVE-2025-31210: Andrew James Gonzalez
FrontBoard
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: програма може перелічувати, скільки програм установив користувач.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2025-31207: YingQi Shi (@Mas0nShi) з лабораторії WeBin компанії DBAppSecurity, Duy Trần (@khanhduytran0)
iCloud Document Sharing
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник може вмикати спільний доступ до папки iCloud без автентифікації.
Опис: проблему вирішено завдяки додатковим перевіркам прав.
CVE-2025-30448: Dayton Pidhirney з Atredis Partners, Lyutoon і YenKoc
ImageIO
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого зображення може призводити до відмови в обслуговуванні.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2025-31226: Saagar Jha
Kernel
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24224: Tony Iskow (@Tybbow)
Запис додано 29 липня 2025 р.
Kernel
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-31219: Michael DePlante (@izobashi) і Lucas Leong (@_wmliang_), що співпрацюють із компанією Trend Micro в межах ініціативи Zero Day Initiative
Kernel
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: віддалений зловмисник може призвести до неочікуваного завершення роботи програми.
Опис: проблему подвійного вивільнення вирішено завдяки поліпшенню керування пам’яттю.
CVE-2025-31241: Christian Kohlschütter
libexpat
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: кілька проблем у libexpat, зокрема несподіване завершення роботи програми або виконання довільного коду.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-8176
Mail Addressing
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка повідомлення електронної пошти може призводити до підміни інтерфейсу користувача.
Опис: проблему з ін’єкцією вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24225: Richard Hyunho Im (@richeeta)
mDNSResponder
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: користувач може підвищувати рівень привілеїв.
Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Notes
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник із фізичним доступом до пристрою може отримати доступ до нотаток із замкненого екрана.
Опис: цю проблему усунено завдяки вдосконаленню автентифікації.
CVE-2025-31228: Andr.Ess
Notes
Цільові продукти: iPhone XS і новіші моделі
Вплив: зловмисник із фізичним доступом до пристрою може отримати доступ до видалених записів викликів.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2025-31227: Shehab Khan
Pro Res
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-31245: wac
Pro Res
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему усунено завдяки поліпшеній обробці вводу.
CVE-2025-31234: CertiK (@CertiK)
Security
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник може віддалено ініціювати витік пам’яті.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-31221: Dave G.
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: проблема переплутування типів може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки значень із рухомою комою.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: користувач wac, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) і анонімний дослідник
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang (@eternalsakura13)
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang і Jikai Ren
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.
WebKit Bugzilla: 290834
CVE-2025-31206: анонімний дослідник
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric із Google Project Zero
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління й новіші моделі, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 7-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied із Lynck GmbH
Додаткова подяка
AirDrop
Дякуємо за допомогу користувачу Dalibor Milanovic.
Kernel
Дякуємо за допомогу анонімному досліднику.
libnetcore
Дякуємо за допомогу користувачу Hoffcona з відділу IES Red компанії ByteDance.
Messages
Дякуємо за допомогу Paulo Henrique Batista Rosa de Castro (@paulohbrc).
MobileGestalt
Дякуємо за допомогу користувачу iisBuri.
MobileLockdown
Дякуємо за допомогу користувачу Matthias Frielingsdorf (@helthydriver) з iVerify і анонімному досліднику.
NetworkExtension
Дякуємо за допомогу користувачу Andrei-Alexandru Bleorțu.
Phone
Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) із C-DAC Thiruvananthapuram (Індія).
Photos
Дякуємо за допомогу Yusuf Kelany.
Safari
Дякуємо за допомогу користувачам Akash Labade та Narendra Bhati, менеджеру з кібербезпеки в Suma Soft Pvt. Ltd, м. Пуне (Індія).
Screenshots
Дякуємо за допомогу анонімному досліднику.
Shortcuts
Дякуємо за допомогу користувачам Candace Jensen із Kandji, Chi Yuan Chang із ZUSO ART, taikosoup, Egor Filatov (Positive Technologies) і Monnier Pascaud.
Siri Suggestions
Дякуємо за допомогу Jake Derouin (jakederouin.com).
Spotlight
Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) із C-DAC Thiruvananthapuram (Індія).
WebKit
Дякуємо за допомогу користувачам Mike Dougherty та Daniel White із Google Chrome.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.