Tietoja iPadOS 17.7.7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iPadOS 17.7.7:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iPadOS 17.7.7

AirDrop

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisten tiedostojen metatietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH)

AppleJPEG

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31235: Dillon Franke yhteistyössä Google Project Zeron kanssa

CoreAudio

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-31196: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreGraphics

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Display

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24111: Wang Yu (Cyberserval)

FaceTime

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: hyökkääjä pystyi mahdollisesti ottamaan iCloud-kansion jakamisen käyttöön ilman todentamista.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30448: nimimerkit Lyutoon ja YenKoc, Dayton Pidhirney (Atredis Partners)

ImageIO

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31226: Saagar Jha

Kernel

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31219: Michael DePlante (@izobashi) ja Lucas Leong (@_wmliang_) (Trend Micro Zero Day Initiative)

Kernel

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31241: Christian Kohlschütter

libexpat

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: useita libexpat-ongelmia, mukaan lukien apin odottamaton sulkeutuminen tai mielivaltaisen koodin suorittaminen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-8176

Mail Addressing

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: sähköpostin käsitteleminen saattoi johtaa käyttöliittymän väärentämiseen.

Kuvaus: annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä käyttämään muistiinpanoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla todennusta.

CVE-2025-31228: Andr.Ess

Parental Controls

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattaa pystyä hakemaan Safarin kirjanmerkkejä ilman oikeustarkistuksia.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31245: wac

Security

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-31221: Dave G.

Security

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään käyttäjän iCloud-avainnippuun liittyviä käyttäjätunnuksia ja verkkosivustoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-31213: Kirin (@Pwnrin) ja nimimerkki 7feilee

StoreKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)

Weather

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallinen appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2025-31220: Adam M.

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: tyyppisekaannusongelma saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla liukulukujen käsittelyä.

CVE-2025-24213: Google V8 Security Team

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31215: Jiming Wang ja Jikai Ren

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.

CVE-2025-31206: nimetön tutkija

Kiitokset

Kernel

Haluamme kiittää avusta nimetöntä tutkijaa.