Informacije o sigurnosnom sadržaju sustava iOS 18.6 i iPadOS 18.6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18.6 i iPadOS 18.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18.6 i iPadOS 18.6

Izdano 29. srpnja 2025.

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: VoiceOver može naglas pročitati šifru

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Učinak: indikatori privatnosti za mikrofon i kameru mogli bi se pogrešno prikazivati

Opis: problem je riješen dodavanje dodatne logike.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43186: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CFNetwork

Učinak: korisnik bez ovlasti mogao bi izmijeniti ograničene mrežne postavke

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43223: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

CoreAudio

Učinak: obradom zlonamjernih audiodatoteka moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43277: Googleov tim Threat Analysis Group

CoreMedia

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43210: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia Playback

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2025-43230: Chi Yuan Chang (ZUSO ART) i taikosoup

ICU

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43209: Gary Kwong i inicijativa Zero Day (Trend Micro)

ImageIO

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43226

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43282: Christian Kohlschütter

Unos je dodan 15. listopada 2025.

libnetcore

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43202: Brian Carpenter

libxml2

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID oznaku pronađite na cve.org.

CVE-2021-30799: Sergei Glazunov (Google Project Zero)

libxslt

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-7424: Ivan Fratric (Google Project Zero)

Mail Drafts

Učinak: udaljeni sadržaj mogao bi se učitati čak i kad je postavka „Učitaj udaljene slike” isključena

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Mail Drafts

Učinak: prosljeđivanjem e-mail poruke mogu se prikazati udaljene slike u aplikaciji Mail u modu zaključavanja

Opis: problem je riješen tako da se udaljene slike ne učitavaju

CVE-2025-43280: Himanshu Bharti @Xpl0itme

Unos je dodan 15. listopada 2025.

Metal

Učinak: obradom zlonamjerne teksture moglo je doći do neočekivanog zatvaranja aplikacije

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43234: Vlad Stolyarov iz Googleova tima Threat Analysis Group

Model I/O

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43224: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2025-43221: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

Model I/O

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2025-31281: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

SQLite

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-6965

Unos dodan 15. listopada 2025.

WebKit

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem je riješen poboljšanim korisničkim sučeljem.

WebKit Bugzilla: 294374

CVE-2025-43228: Jaydev Ahire

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 292888

CVE-2025-43227: Gilad Moav, Yehuda Afek, Anat Bremler-Barr i Amit Klein

Unos je ažuriran 15. listopada 2025.

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 291742

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit Bugzilla: 291745

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit Bugzilla: 293579

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 292599

CVE-2025-43214: shandikri i inicijativa Zero Day (Trend Micro), tim za sigurnost Google V8

WebKit Bugzilla: 292621

CVE-2025-43213: tim za sigurnost Google V8

WebKit Bugzilla: 293197

CVE-2025-43212: Nan Wang (@eternalsakura13) i Ziling Chen

WebKit

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 293730

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit

Učinak: obrada zlonamjernog web-sadržaja može otkriti interna stanja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 294182

CVE-2025-43265: HexRabbit (@h3xr4bb1t) iz istraživačkog tima DEVCORE

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 295382

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID oznaku pronađite na cve.org.

WebKit Bugzilla: 296459

CVE-2025-6558: Clément Lecigne i Vlad Stolyarov iz Googleova tima Threat Analysis Group

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo korisnicima Abhay Kailasi (@abhay_kailasia) (C-DAC Thiruvananthapuram Indija), Hamza BHP, Himanshu Bharti (@Xpl0itme).

Activation Lock

Na pomoći zahvaljujemo salemdomainu.

Bluetooth

Na pomoći zahvaljujemo korisnicima LIdong LI, Xiao Wang, Shao Dong Chen i Chao Tan (Source Guard)

CoreAudio

Na pomoći zahvaljujemo korisniku Noahu Weinbergu.

Device Management

Na pomoći zahvaljujemo Alu Karaku.

libxml2

Na pomoći zahvaljujemo Sergeiju Glazunovu iz tima Google Project Zero.

libxslt

Željeli bismo zahvaliti·Ivanu Fratricu (Google Project Zero) na pomoći.

Managed Configuration

Na pomoći zahvaljujemo Billu Marczaku (The Citizen Lab, Munk School Sveučilišta u Torontu).

MobileGestalt

Na pomoći zahvaljujemo Hani Kim (@hanakim3945) iz tvrtke XiguaSec.

Unos je dodan 15. listopada 2025.

Photos

Na pomoći zahvaljujemo Chaojie Pengu (彭超杰), Daliboru Milanoviću.

Unos je ažuriran 15. listopada 2025.

Safari

Na pomoći zahvaljujemo Ameenu Bashi M K.

Shortcuts

Na pomoći zahvaljujemo Dennisu Kniepu.

Siri

Na pomoći zahvaljujemo Timou Hetzelu.

WebKit

Na pomoći zahvaljujemo timu za sigurnost Google V8 i korisnicima Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei, rheza (@ginggilBesel).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 23. listopada 2025.