Einleitung

Apple hat das Sicherheitsupdate iOS 18.5 veröffentlicht, das mehrere kritische Schwachstellen in seinen Plattformen iOS und macOS behebt. Diese Schwachstellen könnten von Angreifern ausgenutzt werden, um beliebigen Code auszuführen, die Privatsphäre der Benutzer zu kompromittieren und die Systemstabilität zu beeinträchtigen.

Analyse

Nachfolgend sind die wichtigsten in iOS 18.5 behobenen Schwachstellen mit ihren CVE-Identifikatoren und CVSS-Werten aufgelistet:

• CVE-2025-31251 (CVSS 7.8): AppleJPEG: Schwachstelle, die die Ausführung von beliebigem Code beim Verarbeiten manipulierter Multimedia-Dateien ermöglicht.
• CVE-2025-31239 (CVSS 7.5): CoreMedia: Use-after-free-Schwachstelle, die zum unerwarteten Beenden von Anwendungen führen kann.
• CVE-2025-31233 (CVSS 7.5): CoreMedia: Ähnliche Schwachstelle bei der Verarbeitung von Videodateien, die die Ausführung von beliebigem Code ermöglicht.
• CVE-2025-31208 (CVSS 7.5): CoreAudio: Problem bei der Dateianalyse, das zum unerwarteten Beenden von Anwendungen führen könnte.
• CVE-2025-31209 (CVSS 7.5): CoreGraphics: Außerhalb-der-Grenzen-Lesen beim Analysieren von Dateien, wodurch sensible Informationen offengelegt werden können.
• CVE-2025-31222 (CVSS 7.0): mDNSResponder: Schwachstelle, die eine Privilegien-Eskalation durch Manipulation von Netzwerkdiensten erlaubt.
• CVE-2025-31214 (CVSS 7.0): Baseband: Schwachstelle im Zustandsmanagement, die das Abfangen von Netzwerkverkehr auf iPhone-16e-Geräten ermöglicht.
• CVE-2025-31225 (CVSS 6.5): Anrufverlauf: Offenlegung von Anrufverläufen gelöschter Anwendungen in Spotlight-Suchergebnissen.
• CVE-2025-31212 (CVSS 6.5): Core Bluetooth: Unautorisierter Zugriff auf sensible Daten durch Anwendungen aufgrund fehlerhaften Zustandsmanagements.
• CVE-2025-31219 (CVSS 6.4): FaceTime: Schwachstelle in der Mikrofon-Stummschaltfunktion, die unbeabsichtigte Audioübertragung erlauben könnte.

Betroffene Geräte

Folgende Apple-Geräteversionen sind betroffen:

• iPhone: Modelle ab iPhone XS.
• iPad: Modelle ab iPad 7. Generation, iPad Air 3. Generation, iPad mini 5. Generation sowie alle Versionen des iPad Pro.
• macOS: Betroffene Versionen umfassen macOS Ventura 13.6.8, macOS Sonoma 14.6 und frühere Versionen.
• watchOS und tvOS: Betroffene Versionen umfassen watchOS 10.6 und tvOS 17.6.

Zusätzlich wurde eine Schwachstelle im Baseband (CVE-2025-31214) identifiziert, die ausschließlich iPhone-16e-Geräte betrifft und das Abfangen von Netzwerkverkehr ermöglicht.

Empfehlungen

Benutzer sollten ihre Geräte auf iOS 18.5, iPadOS 18.5 oder die entsprechenden Versionen von macOS, watchOS und tvOS aktualisieren.

Referenzen

• https://www.securityweek.com/apple-patches-major-security-flaws-in-ios-macos-platforms/
• https://support.apple.com/en-us/122404
• https://securityaffairs.com/177748/security/apple-released-security-updates-to-fix-multiple-flaws-in-ios-and-macos.html