Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 18.3 και του iPadOS 18.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 18.3 και του iPadOS 18.3.

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες κυκλοφορίες παρατίθενται στη σελίδα κυκλοφοριών ασφάλειας της Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 18.3 και iPadOS 18.3

Κυκλοφόρησε στις 27 Ιανουαρίου 2025

Accessibility

Διατίθεται για: iPhone XS και νεότερα μοντέλα, iPad Pro 13 ιντσών, iPad Pro 12,9 ιντσών 3ης γενιάς και νεότερα μοντέλα, iPad Pro 11 ιντσών 1ης γενιάς και νεότερα μοντέλα, iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 7ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση σε μια ξεκλείδωτη συσκευή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις Φωτογραφίες ενώ η εφαρμογή είναι κλειδωμένη

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) από την C-DAC Thiruvananthapuram India

AirPlay

Αποτέλεσμα: Ένας εισβολέας στο τοπικό δίκτυο μπορεί να είναι σε θέση να προκαλέσει απροσδόκητο τερματισμό συστήματος ή να καταστρέψει τη μνήμη επεξεργασίας

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα επαλήθευσης εισαγωγής.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει απροσδόκητο τερματισμό εφαρμογών

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Αποτέλεσμα: Η επεξεργασία ενός αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu και Xingwei Lin του Πανεπιστημίου Zhejiang

CoreAudio

Αποτέλεσμα: Η επεξεργασία ενός αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Αποτέλεσμα: Η επεξεργασία ενός αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2025-24123: Desmond σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2025-24124: Pwn2car και Rotiple (HyeongSeok Jang) σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

CoreMedia

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 17.2.

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2025-24085

ImageIO

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2025-24086: DongJun Kim (@smlijun) και JongSeong Kim (@nevul37) από το Enki WhiteHat, D4m0n

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2025-24107: ένας ανώνυμος ερευνητής

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να πάρει το δακτυλικό αποτύπωμα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αποκάλυψη ευαίσθητων πληροφοριών.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Αποτέλεσμα: Η επαναφορά ενός κακόβουλα δημιουργημένου αρχείου αντιγράφου ασφαλείας μπορεί να οδηγήσει σε τροποποίηση των προστατευμένων αρχείων συστήματος

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένο χειρισμό symlinks.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

Κλειδιά πρόσβασης

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο Bluetooth

Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.

CVE-2024-9956: mastersplinter

Safari

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με την προσθήκη επιπλέον λογικής.

CVE-2025-24128: @RenwaX23

Safari

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση του περιβάλλοντος εργασίας χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο UI.

CVE-2025-24113: @RenwaX23

SceneKit

Αποτέλεσμα: Η ανάλυση ενός αρχείου μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2025-24149: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

Ζώνη ώρας

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προβάλει τον αριθμό τηλεφώνου μιας επαφής στα αρχεία καταγραφής συστήματος

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό του συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2025-24154: ένας ανώνυμος ερευνητής

WebKit

Αποτέλεσμα: Μια κακόβουλη ιστοσελίδα ενδέχεται να μπορεί να δημιουργήσει μια μοναδική αναπαράσταση του χρήστη

Περιγραφή: Το πρόβλημα επιλύθηκε με βελτιωμένους περιορισμούς πρόσβασης στο σύστημα αρχείων.

WebKit Bugzilla: 283117

CVE-2025-24143: ένας ανώνυμος ερευνητής

WebKit

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) της NUS CuriOSity και P1umer (@p1umer) της Imperial Global Singapore.

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy της HKUS3Lab και chluo της WHUSecLab

WebKit Web Inspector

Αποτέλεσμα: Η αντιγραφή μιας διεύθυνσης URL από το Web Inspector μπορεί να οδηγήσει σε εισαγωγή εντολών

Περιγραφή: Ένα πρόβλημα απορρήτου αντιμετωπίστηκε με βελτιωμένο χειρισμό των αρχείων.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Επιπλέον αναγνώριση

Accessibility

Θα θέλαμε να ευχαριστήσουμε τους Abhay Kailasia (@abhay_kailasia) του LNCT Bhopal και C-DAC Thiruvananthapuram India για τη βοήθειά τους.

Ήχος

Θέλουμε να ευχαριστήσουμε το Google Threat Analysis Group για τη βοήθεια.

CoreAudio

Θέλουμε να ευχαριστήσουμε το Google Threat Analysis Group για τη βοήθεια.

CoreMedia Playback

Θέλουμε να ευχαριστήσουμε τους Song Hyun Bae (@bshyuunn) και Lee Dong Ha (Who4mI) για τη βοήθεια.

Αρχεία

Θα θέλαμε να ευχαριστήσουμε τους Chi Yuan Chang της ZUSO ART και taikosoup για τη βοήθειά τους.

Notifications

Θα θέλαμε να ευχαριστήσουμε τους Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College of Technology Bhopal India, Xingjian Zhao (@singularity-s0) για τη βοήθειά τους.

Passwords

Θέλουμε να ευχαριστήσουμε τους Talal Haj Bakry και Tommy Mysk της Mysk Inc. @mysk_co για τη βοήθεια.

Τηλέφωνο

Θα θέλαμε να ευχαριστήσουμε τον Abhay Kailasia (@abhay_kailasia) του C-DAC Thiruvananthapuram India και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Screenshots

Θα θέλαμε να ευχαριστήσουμε τον Yannik Bloscheck (yannikbloscheck.com) για τη βοήθειά του.

Ύπνος

Θα θέλαμε να ευχαριστήσουμε τους Abhay Kailasia (@abhay_kailasia) του LNCT Bhopal και C-DAC Thiruvananthapuram India για τη βοήθειά τους.

Static Linker

Θα θέλαμε να ευχαριστήσουμε τον Holger Fuhrmannek για τη βοήθειά του.

VoiceOver

Θα θέλαμε να ευχαριστήσουμε τους Bistrit Dahal, Dalibor Milanovic για τη βοήθειά τους.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: 06 Φεβρουαρίου 2025