iOS 18.3 ve iPadOS 18.3'ün güvenlik içeriği hakkında

Bu belgede iOS 18.3 ve iPadOS 18.3'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 18.3 ve iPadOS 18.3

Yayınlanma tarihi: 27 Ocak 2025

Accessibility

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 3. nesil ve sonraki modelleri, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 7. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kilitli olmayan aygıta fiziksel erişimi olan bir saldırgan, uygulama kilitliyken Fotoğraflar'a erişebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2025-24141: Thiruvananthapuram'da (Hindistan) bulunan C-DAC'den Abhay Kailasia (@abhay_kailasia)

AirPlay

Etki: Yerel ağdaki bir saldırgan, sistemin beklenmedik şekilde sonlandırılmasına veya işlem belleğin bozulmasına neden olabilir

Açıklama: Bir giriş doğrulama sorunu giderildi.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına yol açabilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir null işaretçi başvurusu sorunu giderildi.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Etki: Bir dosyanın ayrıştırılması, bir uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu ve Zhejiang Üniversitesi'nden Xingwei Lin

CoreAudio

Etki: Bir dosyanın ayrıştırılması, bir uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2025-24160: Google Tehdit Analiz Grubu

CVE-2025-24161: Google Tehdit Analiz Grubu

CVE-2025-24163: Google Tehdit Analiz Grubu

CoreMedia

Etki: Bir dosyanın ayrıştırılması, bir uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2025-24123: Trend Micro'nun Zero Day Initiative programı ile Desmond

CVE-2025-24124: Trend Micro'nun Zero Day Initiative programı ile çalışan Pwn2car ve Rotiple (HyeongSeok Jang)

CoreMedia

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir. Apple, iOS 17.2'den önceki iOS sürümlerinde bu sorundan etkin şekilde yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2025-24085

ImageIO

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24086: DongJun Kim (@smlijun) ve Enki WhiteHat'ten JongSeong Kim (@nevul37), D4m0n

Kernel

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıkları kazanabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2025-24107: Anonim bir araştırmacı

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Etki: Bir uygulama, kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Etki: Kötü amaçlarla oluşturulmuş bir yedekleme dosyasının geri yüklenmesi korunan sistem dosyalarının değişmesine neden olabilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

Geçiş kodları

Etki: Bir uygulama, Bluetooth'a yetkisiz erişim sağlayabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-9956: mastersplinter

Safari

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Ek mantık eklenmesiyle bu sorun giderildi.

CVE-2025-24128: @RenwaX23

Safari

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

Açıklama: Kullanıcı arabiriminin iyileştirilmesiyle sorun giderildi

CVE-2025-24113: @RenwaX23

SceneKit

Etki: Bir dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2025-24149: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

Time Zone

Etki: Bir uygulama, bir kişinin telefon numarasını sistem günlüklerinden görüntüleyebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Etki: Bir saldırgan, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek belleğin bozulmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2025-24154: anonim bir araştırmacı

WebKit

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Dosya sistemine erişim kısıtlamaları iyileştirilerek sorun giderildi.

WebKit Bugzilla: 283117

CVE-2025-24143: Anonim bir araştırmacı

WebKit

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 283889

CVE-2025-24158: NUS CuriOSity'den Q1IQ (@q1iqF) ve Imperial Global Singapore'dan P1umer (@p1umer).

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

WebKit Bugzilla: 284159

CVE-2025-24162: HKUS3Lab'den linjy ve WHUSecLab'den chluo

WebKit Web Inspector

Etki: Web Denetleyicisi'nden bir URL'nin kopyalanması komut eklenmesine yol açabilir

Açıklama: Dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Ek teşekkür listesi

Accessibility

Hindistan'daki LNCT Bhopal'dan Abhay Kailasia'ya (@abhay_kailasia) C-DAC Thiruvananthapuram'a yardımı için teşekkür ederiz.

Audio

Yardımları için Google Tehdit Analiz Grubu'na teşekkür ederiz.

CoreAudio

Yardımları için Google Tehdit Analiz Grubu'na teşekkür ederiz.

CoreMedia Playback

Yardımları için Song Hyun Bae (@bshyuunn) ve Lee Dong Ha'ya (Who4mI) teşekkür ederiz.

Files

ZUSO ART'tan Chi Yuan Chang'a ve taikosoup'a yardımları için teşekkür ederiz.

Bildirimler

Yardımları için Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) ve Xingjian Zhao'ya (@singularity-s0) teşekkür ederiz.

Passwords

Yardımları için Talal Haj Bakry ve Mysk Inc. @mysk_co'dan Tommy Mysk'ye teşekkür ederiz.

Telefon

C-DAC Thiruvananthapuram India'dan Abhay Kailasia'ya (@abhay_kailasia) teşekkür ederiz.

Ekran Resimleri

Yardımı için Yannik Bloscheck'e (yannikbloscheck.com) teşekkür ederiz.

Uyku

Hindistan'daki LNCT Bhopal'dan Abhay Kailasia'ya (@abhay_kailasia) C-DAC Thiruvananthapuram'a yardımı için teşekkür ederiz.

Static Linker

Holger Fuhrmannek'e yardımı için teşekkür ederiz.

VoiceOver

Yardımları için Bistrit Dahal, Dalibor Milanovic'e teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 6 Şubat 2025