Informacije o sigurnosnom sadržaju sustava iOS 18.3 i iPadOS 18.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18.3 i iPadOS 18.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18.3 i iPadOS 18.3

Izdano 27. siječnja 2025.

Pristupačnost

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač s fizičkim pristupom otključanom uređaju mogao bi pristupiti fotografijama dok je aplikacija zaključana

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) (C-DAC Thiruvananthapuram, India)

AirPlay

Učinak: napadači na lokalne mreže mogli su izazvati neočekivan pad sustava ili oštećenje procesne memorije

Opis: riješen je problem s provjerom valjanosti unosa.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Učinak: udaljeni napadači mogli su izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin (Sveučilište Zhejiang)

CoreAudio

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24160: Googleov tim Threat Analysis Group

CVE-2025-24161: Googleov tim Threat Analysis Group

CVE-2025-24163: Googleov tim Threat Analysis Group

CoreMedia

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24123: Desmond i inicijativa Zero Day (Trend Micro)

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) i inicijativa Zero Day (Trend Micro)

CoreMedia

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 17.2.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-24085

ImageIO

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) (Enki WhiteHat), D4m0n

Kernel

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-24107: anonimni istraživač

Kernel

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

Povezni ključevi

Učinak: aplikacija može steći neovlašten pristup Bluetoothu

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-9956: mastersplinter

Safari

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem je riješen dodavanje dodatne logike.

CVE-2025-24128: @RenwaX23

Safari

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem je riješen poboljšanim korisničkim sučeljem.

CVE-2025-24113: @RenwaX23

SceneKit

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-24149: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

vremensku zonu.

Učinak: aplikacija bi mogla imati pristup telefonskom broju kontakta u zapisnicima sustava

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24154: anonimni istraživač

WebKit

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem je riješen poboljšanjem ograničenja pristupa datotečnom sustavu.

WebKit Bugzilla: 283117

CVE-2025-24143: anonimni istraživač

WebKit

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) (NUS CuriOSity) i P1umer (@p1umer) (Imperial Global Singapore).

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy (HKUS3Lab) i chluo (WHUSecLab)

WebKit Web Inspector

Učinak: kopiranje URL adrese s web-inspektora može dovesti do umetanja naredbe

Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Dodatna zahvala

Pristupačnost

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (LNCT, Bhopal i C-DAC, Thiruvananthapuram, Indija).

audio

Na pomoći zahvaljujemo Googleovu timu Threat Analysis Group.

CoreAudio

Na pomoći zahvaljujemo Googleovu timu Threat Analysis Group.

CoreMedia Playback

Na pomoći zahvaljujemo Song Hyun Baeu (@bshyuunn) i Lee Dong Hau (Who4mI).

Datoteke

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

Notifications

Na pomoći zahvaljujemo korisnicima Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal, India) i Xingjian Zhao (@singularity-s0).

Passwords

Na pomoći zahvaljujemo Talalu Haj Bakryju i Tommyju Mysku (Mysk Inc. @mysk_co).

Telefon

Na pomoći zahvaljujemo korisnicima Abhay Kailasia (@abhay_kailasia) (C-DAC Thiruvananthapuram, India) i anonimnom istraživaču.

Screenshots

Na pomoći zahvaljujemo Yanniku Bloschecku (yannikbloscheck.com).

spavanje

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (LNCT, Bhopal i C-DAC, Thiruvananthapuram, Indija).

Static Linker

Na pomoći zahvaljujemo Holgeru Fuhrmanneku.

VoiceOver

Na pomoći zahvaljujemo Bistritu Dahalu i Daliboru Milanovicu.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 06. veljače 2025.