Om sikkerhetsinnholdet i iOS 18.3 og iPadOS 18.3

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 18.3 og iPadOS 18.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iOS 18.3 og iPadOS 18.3

Accessibility

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper med fysisk tilgang til en ulåst enhet kan få tilgang til Bilder mens appen er låst

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India

AirPlay

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper på det lokale nettverket kan forårsake uventet systemavslutning eller skade prosessminne

Beskrivelse: Et problem med validering av inndata ble løst.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En ekstern angriper kan forårsake uventet avslutning av et program

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper i en privilegert posisjon kan utføre tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Derefereringen av en nullreferanse ble løst med forbedret validering av inndata.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En ekstern angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, og Xingwei Lin fra Zhejiang University

CoreAudio

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24123: Desmond i samarbeid med Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car og Rotiple (HyeongSeok Jang) i samarbeid med Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et skadelig program kan være i stand til å utvide rettigheter. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS før iOS 17.2.

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2025-24085

ImageIO

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24086: DongJun Kim (@smlijun) og JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n

Kernel

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En skadelig app kan få rotrettigheter

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-24107: en anonym forsker

Kernel

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

Tilgangsnøkler

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få uautorisert tilgang til Bluetooth

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2024-9956: mastersplinter

Safari

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.

CVE-2025-24128: @RenwaX23

Safari

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

Beskrivelse: Problemet ble løst med et forbedret brukergrensesnitt.

CVE-2025-24113: @RenwaX23

SceneKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-24149: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Tidssone

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan vise en brukers telefonnummer i systemlogger

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2025-24154: en anonym forsker

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Problemet ble løst med forbedrede tilgangsrestriksjoner til systemfilen.

CVE-2025-24143: en anonym forsker

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24158: Q1IQ (@q1iqF) fra NUS CuriOSity og P1umer (@p1umer) fra Imperial Global Singapore.

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-24162: linjy fra HKUS3Lab og chluo fra WHUSecLab

WebKit Web Inspector

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Kopiering av en URL fra Nettinspektør kan føre til kommandoinjisering

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av filer.

CVE-2025-24150: Johan Carlsson (joaxcar)

Ytterligere anerkjennelser

Accessibility

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India for hjelpen.

Audio

Vi vil gjerne takke Google Threat Analysis Group for hjelpen.

CoreAudio

Vi vil gjerne takke Google Threat Analysis Group for hjelpen.

CoreMedia Playback

Vi vil gjerne takke Song Hyun Bae (@bshyuunn) og Lee Dong Ha (Who4mI) for hjelpen.

Filer

Vi vil gjerne takke Chi Yuan Chang hos ZUSO ART og taikosoup for hjelpen.

Notifications

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Xingjian Zhao (@singularity-s0) for hjelpen.

Passwords

Vi vil gjerne takke Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co for hjelpen.

Telefon

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India og en anonym forsker for hjelpen.

Skjermbilder

Vi vil gjerne takke Yannik Bloscheck (yannikbloscheck.com) for hjelpen.

Søvn

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India for hjelpen.

Static Linker

Vi vil gjerne takke Holger Fuhrmannek for hjelpen.

VoiceOver

Vi vil gjerne takke Bistrit Dahal og Dalibor Milanovic for hjelpen.