Om sikkerhedsindholdet i iOS 18.3 og iPadOS 18.3

I dette dokument beskrives sikkerhedsindholdet i iOS 18.3 og iPadOS 18.3.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 18.3 og iPadOS 18.3

Udgivet 27. januar 2025

Accessibility

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller

Effekt: En hacker med fysisk adgang til en ulåst enhed kan muligvis få adgang til Fotos, mens appen er låst

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India

AirPlay

Effekt: En hacker på det lokale netværk kan forårsage uventet systemnedlukning eller korrupt proceshukommelse

Beskrivelse: Et problem med inputvalidering er løst.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Effekt: En ekstern hacker kan forårsage en uventet applukning

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Effekt: En hacker med en privilegeret position kan udføre et DoS-angreb

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Effekt: En hacker kan muligvis fremkalde et DoS-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Effekt: En hacker kan forårsage uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu og Xingwei Lin fra Zhejiang University

CoreAudio

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24123: Desmond, der arbejder med Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang), der arbejder med Trend Micro Zero Day Initiative

CoreMedia

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 17.2.

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2025-24085

ImageIO

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24086: DongJun Kim (@smlijun) og JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n

Kernel

Effekt: En skadelig app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2025-24107: en anonym programmør

Kernel

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

Adgangsnøgler

Effekt: En app kan muligvis få uautoriseret adgang til Bluetooth

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-9956: mastersplinter

Safari

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

CVE-2025-24128: @RenwaX23

Safari

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.

CVE-2025-24113: @RenwaX23

SceneKit

Effekt: Parsing af et arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2025-24149: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Tidszone

Effekt: En app kan muligvis se en kontakts telefonnummer i systemlogge

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Effekt: En hacker kan muligvis udløse pludselig systemlukning eller beskadigelse af kernehukommelsen

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2025-24154: en anonym programmør

WebKit

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet blev løst ved forbedret adgangsbegrænsninger til arkivsystemet.

WebKit Bugzilla: 283117

CVE-2025-24143: en anonym programmør

WebKit

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) fra NUS CuriOSity og P1umer (@p1umer) fra Imperial Global Singapore.

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret statusadministration.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy fra HKUS3Lab og chluo fra WHUSecLab

WebKit Web Inspector

Effekt: Kopiering af en URL fra Info om web kan muligvis medføre kommandoindsættelse

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af arkiver.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.

Audio

Vi vil gerne takke Google Threat Analysis Group for hjælpen.

CoreAudio

Vi vil gerne takke Google Threat Analysis Group for hjælpen.

CoreMedia Playback

Vi vil gerne takke Song Hyun Bae (@bshyuunn) og Lee Dong Ha (Who4mI) for hjælpen.

Arkiver

Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup for hjælpen.

Meddelelser

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien og Xingjian Zhao (@singularity-s0) for hjælpen.

Passwords

Vi vil gerne takke Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co for hjælpen.

Telefon

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India og en anonym programmør for hjælpen.

Skærmbilleder

Vi vil gerne takke Yannik Bloscheck (yannikbloscheck.com) for hjælpen.

Søvn

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.

Static Linker

Vi vil gerne takke Holger Fuhrmannek for hjælpen.

VoiceOver

Vi vil gerne takke Bistrit Dahal, Dalibor Milanovic for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 06. februar 2025