Over de beveiligingsinhoud van iOS 18.3 en iPadOS 18.3

In dit document wordt de beveiligingsinhoud van iOS 18.3 en iPadOS 18.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18.3 en iPadOS 18.3

Releasedatum: 27 januari 2025

Accessibility

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller met fysieke toegang tot een ontgrendeld apparaat kan mogelijk toegang krijgen tot Foto's terwijl de app vergrendeld is

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India

AirPlay

Impact: een aanvaller op het lokale netwerk kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het procesgeheugen beschadigen

Beschrijving: een probleem met invoervalidatie is verholpen.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Impact: een externe aanvaller kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Impact: een aanvaller in een geprivilegieerde positie kan mogelijk een denial of service uitvoeren

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: een null pointer-dereferentie is verholpen door verbeterde invoervalidatie.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu en Xingwei Lin van Zhejiang University

CoreAudio

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24123: Desmond in samenwerking met Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) in samenwerking met Trend Micro Zero Day Initiative

CoreMedia

Impact: een kwaadaardig programma kan de bevoegdheden verhogen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS vóór iOS 17.2.

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2025-24085

ImageIO

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24086: DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n

Kernel

Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-24107: een anonieme onderzoeker

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

Toegangscodes

Impact: een app kan ongeoorloofde toegang verkrijgen tot Bluetooth

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-9956: mastersplinter

Safari

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2025-24128: @RenwaX23

Safari

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

CVE-2025-24113: @RenwaX23

SceneKit

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-24149: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Tijdzone

Impact: een app kan het telefoonnummer van een contactpersoon zien in systeemlogbestanden

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-24154: een anonieme onderzoeker

WebKit

Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker

Beschrijving: het probleem is aangekaart met verbeterde toegangsrestricties voor het bestandssysteem.

WebKit Bugzilla: 283117

CVE-2025-24143: een anonieme onderzoeker

WebKit

Impact: het verwerken van webinhoud kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) van NUS CuriOSity en P1umer (@p1umer) van Imperial Global Singapore.

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy van HKUS3Lab en chluo van WHUSecLab

WebKit Web Inspector

Impact: het kopiëren van een URL uit Web Inspector kan leiden tot commando-injectie

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van bestanden.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal and C-DAC Thiruvananthapuram India voor de hulp.

Audio

Met dank aan Google Threat Analysis Group voor de hulp.

CoreAudio

Met dank aan Google Threat Analysis Group voor de hulp.

CoreMedia Playback

Met dank aan Song Hyun Bae (@bshyuunn) en Lee Dong Ha (Who4mI) voor de hulp.

Bestanden

Met dank aan Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

Meldingen

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India en Xingjian Zhao (@singularity-s0) voor de hulp.

Passwords

Met dank aan Talal Haj Bakry en Tommy Mysk van Mysk Inc. @mysk_co voor de hulp.

Telefoon

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India en een anonieme onderzoeker voor de hulp.

Schermafbeeldingen

Met dank aan Yannik Bloscheck (yannikbloscheck.com) voor de hulp.

Slaap

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal and C-DAC Thiruvananthapuram India voor de hulp.

Static Linker

Met dank aan Holger Fuhrmannek voor de hulp.

VoiceOver

Met dank aan Bistrit Dahal en Dalibor Milanovic voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 6 februari 2025