Az iOS 18.3 és az iPadOS 18.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.3 és az iPadOS 18.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.3 és iPadOS 18.3

Kiadási dátum: 2025. január 27.

Accessibility

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: A feloldott készülékhez fizikai hozzáféréssel rendelkező támadók bizonyos esetekben akkor is hozzáférhettek a Fotókhoz, ha az alkalmazás zárolva volt.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India)

AirPlay

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni vagy károsítani tudták a feldolgozási memóriát a helyi hálózaton

Leírás: Elhárítottunk egy bemenet-ellenőrzési hibát.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, és Xingwei Lin, Zhejiang University

CoreAudio

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24123: Desmond, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-24124: Pwn2car és Rotiple (HyeongSeok Jang), a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 17.2 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2025-24085

ImageIO

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24086: DongJun Kim (@smlijun) és JongSeong Kim (@nevul37), Enki WhiteHat, D4m0n

Kernel

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24107: anonim kutató

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

Jelkulcsok

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetoothhoz.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-9956: mastersplinter

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-24128: @RenwaX23

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-24113: @RenwaX23

SceneKit

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-24149: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Időzóna

Érintett terület: Egyes alkalmazások képesek lehettek megtekinteni egy kontakt telefonszámát a rendszer naplóiban.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2025-24154: anonim kutató

WebKit

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: A fájlrendszerhez való hozzáférés hatékonyabb korlátozásával küszöböltük ki a problémát.

WebKit Bugzilla: 283117

CVE-2025-24143: anonim kutató

WebKit

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF), NUS CuriOSity és P1umer (@p1umer), Imperial Global Singapore.

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy, HKUS3Lab és chluo, WHUSecLab

WebKit Web Inspector

Érintett terület: Az URL-címek Webvizsgálóból való kimásolása parancsbeszúrásra adhatott lehetőséget.

Leírás: A fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, LNCT Bhopal és C-DAC Thiruvananthapuram, India) segítségét.

Audio

Köszönjük a Google Threat Analysis Group segítségét.

CoreAudio

Köszönjük a Google Threat Analysis Group segítségét.

CoreMedia Playback

Köszönjük Song Hyun Bae (@bshyuunn) és Lee Dong Ha (Who4mI) segítségét.

Fájlok

Szeretnénk megköszönni Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.

Értesítések

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India), Xingjian Zhao (@singularity-s0) segítségét.

Passwords

Köszönjük Talal Haj Bakry és Tommy Mysk, Mysk Inc. @mysk_co segítségét.

Telefon

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India) és egy anonim kutató segítségét.

Képernyőfotók

Köszönjük Yannik Bloscheck (yannikbloscheck.com) segítségét.

Alvás

Köszönjük Abhay Kailasia (@abhay_kailasia, LNCT Bhopal és C-DAC Thiruvananthapuram, India) segítségét.

Static Linker

Köszönjük Holger Fuhrmannek segítségét.

VoiceOver

Köszönjük Bistrit Dahal, Dalibor Milanovic segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. február 06.