Informace o bezpečnostním obsahu iPadOS 17.7.7

Tento dokument popisuje bezpečnostní obsah iPadOS 17.7.7.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iPadOS 17.7.7

AirDrop

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikaci se může podařit číst metadata libovolného souboru.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-24097: Ron Masas z BREAKPOINT.SH

AppleJPEG

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém byl vyřešen vylepšením sanitizace vstupů.

CVE-2025-31251: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

Audio

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s dvojitým uvolněním paměti byl vyřešen vylepšením správy paměti.

CVE-2025-31235: Dillon Franke ve spolupráci s týmem Google Project Zero

CoreAudio

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-31208: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreGraphics

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby nebo k potenciálnímu odhalení obsahu paměti.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2025-31196: wac ve spolupráci se Zero Day Initiative společnosti Trend Micro

CoreGraphics

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Parsování souboru může vést k odhalení uživatelských informací.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-31209: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreMedia

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2025-31239: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreMedia

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého souboru videa může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém byl vyřešen vylepšením sanitizace vstupů.

CVE-2025-31233: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

Display

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2025-24111: Wang Yu z Cyberservalu

FaceTime

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování webového obsahu může vést k odepření služby.

Popis: Problém byl vyřešen vylepšením uživatelského rozhraní.

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Útočníkovi se může podařit zapnout sdílení složky na iCloudu bez ověření.

Popis: Problém byl vyřešen zavedením dalších kontrol oprávnění.

CVE-2025-30448: Lyutoon a YenKoc, Dayton Pidhirney ze společnosti Atredis Partners

ImageIO

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2025-31226: Saagar Jha

Kernel

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém s odhalením informací byl vyřešen odstraněním škodlivého kódu.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-31219: Michael DePlante (@izobashi) a Lucas Leong (@_wmliang_) z Trend Micro Zero Day Initiative

Kernel

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Problém s dvojitým uvolněním paměti byl vyřešen vylepšením správy paměti.

CVE-2025-31241: Christian Kohlschütter

libexpat

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Několik problémů v libexpat, včetně nečekaného ukončení aplikace nebo spuštění libovolného kódu

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2024-8176

Mail Addressing

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování e-mailu může vést k falšování uživatelského rozhraní.

Popis: Problém s vložením kódu byl vyřešen vylepšením ověřování vstupů.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit dostat se ze zamknuté obrazovky k poznámkám.

Popis: Problém byl vyřešen vylepšením ověřování.

CVE-2025-31228: Andr.Ess

Parental Controls

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikaci se může podařit načíst záložky Safari bez kontroly oprávnění.

Popis: Problém byl vyřešen zavedením dalších kontrol oprávnění.

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-31245: wac

Security

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Vzdálenému útočníkovi se může podařit způsobit únik paměti.

Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.

CVE-2025-31221: Dave G.

Security

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikaci se může podařit získat uživatelská jména a webové stránky v uživatelově Klíčence na iCloudu.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2025-31213: Kirin (@Pwnrin) a 7feilee

StoreKit

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2025-31242: Eric Dorphy ze společnosti Twin Cities App Dev LLC

Weather

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Škodlivé aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.

CVE-2025-31220: Adam M.

WebKit

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Problém se záměnou typů může vést k poškození paměti.

Popis: Problém byl vyřešen vylepšením zpracování čísel s plovoucí desetinnou čárkou.

CVE-2025-24213: tým Google V8 Security Team

WebKit

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-31215: Jiming Wang a Jikai Ren

WebKit

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy stavu.

CVE-2025-31206: anonymní výzkumník

Další poděkování

Kernel

Poděkování za pomoc zaslouží anonymní výzkumník.