Obsah zabezpečenia v systémoch iOS 18.6 a iPadOS 18.6

V tomto dokumente sa popisuje obsah zabezpečenia v systémoch iOS 18.6 a iPadOS 18.6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 18.6 a iPadOS 18.6

Accessibility

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Funkcia VoiceOver môže kód prečítať nahlas

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31229: Wong Wee Xiang

Accessibility

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Indikátory súkromia pre prístup k mikrofónu alebo kamere sa nemusia zobraziť správne

Popis: Problém bol vyriešený pridaním ďalšej logiky.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43186: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CFNetwork

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Neprivilegovaný používateľ môže byť schopný upraviť obmedzené sieťové nastavenia

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43223: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

CoreAudio

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie audiosúboru so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43277: Tím Threat Analysis Group spoločnosti Google

CoreMedia

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43210: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia Playback

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.

CVE-2025-43230: Chi Yuan Chang z tímu ZUSO ART a taikosoup

ICU

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43209: Gary Kwong v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43226

Kernel

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43282: Christian Kohlschütter

libnetcore

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie súboru môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43202: Brian Carpenter

libxml2

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-7425: Sergei Glazunov z tímu Google Project Zero

libxslt

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-7424: Ivan Fratric z tímu Google Project Zero

Mail Drafts

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Vzdialený obsah sa môže načítať aj v prípade, že nastavenie Načítať vzdialené obrázky je vypnuté

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Mail Drafts

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Preposlanie e-mailu mohlo v režime blokovania v apke Mail zobraziť vzdialené obrázky

Popis: Problém bol vyriešený tak, že sa vzdialené obrázky nenačítavajú

CVE-2025-43280: Himanshu Bharti (@Xpl0itme)

Metal

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie škodlivo vytvorenej textúry môže viesť k neočakávanému ukončeniu aplikácie

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2025-43234: Vlad Stolyarov zo skupiny Threat Analysis Group spoločnosti Google

Model I/O

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43224: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2025-43221: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

Model I/O

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31281: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

SQLite

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dosah: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-6965

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Tento problém bol vyriešený vylepšením používateľského rozhrania.

CVE-2025-43228: Jaydev Ahire

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-43227: Gilad Moav, Yehuda Afek, Anat Bremler-Barr a Amit Klein

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu a Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu a Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu a Xiaojie Wei

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43214: shandikri v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) a Ziling Chen

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu a Xiaojie Wei

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže odhaliť interné stavy apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) z tímu DEVCORE Research Team

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (7. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-6558: Clément Lecigne a Vlad Stolyarov zo skupiny Threat Analysis Group spoločnosti Google

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z tímu C-DAC Thiruvananthapuram India, Hamza BHP a Himanshu Bharti (@Xpl0itme).

Activation Lock

Poďakovanie za pomoc si zaslúži salemdomain.

Bluetooth

Poďakovanie za pomoc si zaslúžia LIdong LI, Xiao Wang, Shao Dong Chen a Chao Tan z tímu Source Guard.

CoreAudio

Poďakovanie za pomoc si zaslúži Noah Weinberg.

Device Management

Poďakovanie za pomoc si zaslúži Al Karak.

libxml2

Poďakovanie za pomoc si zaslúži Sergei Glazunov z tímu Google Project Zero.

libxslt

Poďakovanie za pomoc si zaslúži Ivan Fratric z tímu Google Project Zero.

Managed Configuration

Poďakovanie za pomoc si zaslúži Bill Marczak z tímu The Citizen Lab v Munk School na torontskej univerzite.

MobileGestalt

Poďakovanie za pomoc si zaslúži Hana Kim (@hanakim3945) z tímu XiguaSec.

Photos

Poďakovanie za pomoc si zaslúžia Chaojie Peng (彭超杰), Dalibor Milanovic.

Safari

Poďakovanie za pomoc si zaslúži Ameen Basha M K.

Shortcuts

Poďakovanie za pomoc si zaslúži Dennis Kniep.

Siri

Poďakovanie za pomoc si zaslúži Timo Hetzel.

WebKit

Poďakovanie za pomoc si zaslúžia Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei a rheza (@ginggilBesel).