À propos des correctifs de sécurité d’iPadOS 17.7.7

Ce document décrit les correctifs de sécurité d’iPadOS 17.7.7.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iPadOS 17.7.7

AirDrop

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure de lire les métadonnées de fichiers arbitraires.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2025-24097 : Ron Masas de BREAKPOINT.SH

AppleJPEG

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un fichier multimédia malveillant peut entraîner la fermeture inopinée d’une app ou la corruption de la mémoire du processus.

Description : le problème a été résolu par un meilleur nettoyage des entrées.

CVE-2025-31251 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Audio

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de double libération a été résolu par une meilleure gestion de la mémoire.

CVE-2025-31235 : Dillon Franke travaillant avec Google Project Zero

CoreAudio

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : l’analyse d’un fichier peut entraîner la fermeture inopinée d’une app.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2025-31208 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreGraphics

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service ou potentiellement divulguer le contenu de la mémoire.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2025-31196 : wac travaillant de concert avec le programme Zero Day Initiative de Trend Micro

CoreGraphics

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : l’analyse d’un fichier peut entraîner la divulgation des informations utilisateur.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2025-31209 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : l’analyse d’un fichier peut entraîner la fermeture inopinée d’une app.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2025-31239 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une app ou la corruption de la mémoire du processus

Description : le problème a été résolu par un meilleur nettoyage des entrées.

CVE-2025-31233 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Display

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2025-24111 : Wang Yu de Cyberserval

FaceTime

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un contenu Web peut entraîner un déni de service.

Description : ce problème a été résolu par une meilleure gestion de l’interface utilisateur.

CVE-2025-31210 : Andrew James Gonzalez

iCloud Document Sharing

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant peut être en mesure d’activer le partage d’un dossier iCloud sans processus d’authentification.

Description : ce problème a été résolu par des vérifications supplémentaires des autorisations.

CVE-2025-30448 : Lyutoon et YenKoc, Dayton Pidhirney de Atredis Partners

ImageIO

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’une image malveillante peut entraîner un déni de service.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2025-31226 : Saagar Jha

Kernel

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : un problème de divulgation d’informations a été résolu par la suppression du code vulnérable.

CVE-2025-24144 : Mateusz Krzywicki (@krzywix)

Kernel

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant peut être en mesure de provoquer l’arrêt inopiné du système ou de corrompre la mémoire du noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-31219 : Michael DePlante (@izobashi) et Lucas Leong (@_wmliang_) de Trend Micro Zero Day Initiative

Kernel

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une app.

Description : un problème de double libération a été résolu par une meilleure gestion de la mémoire.

CVE-2025-31241 : Christian Kohlschütter

libexpat

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : plusieurs problèmes dans libexpat peuvent survenir, y compris la fermeture inopinée d’une app ou l’exécution de code arbitraire.

Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE sur le site cve.org.

CVE-2024-8176

Mail Addressing

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un courriel peut entraîner l’usurpation de l’interface utilisateur.

Description : un problème d’injection a été résolu par une meilleure validation des entrées.

CVE-2025-24225 : Richard Hyunho Im (@richeeta)

Notes

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant avec un accès physique à un appareil peut être en mesure d’accéder aux notes à partir de l’écran de verrouillage.

Description : ce problème a été résolu par un processus d’authentification amélioré.

CVE-2025-31228 : Andr.Ess

Parental Controls

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure de récupérer des signets Safari sans vérification des droits.

Description : ce problème a été résolu par des vérifications supplémentaires des autorisations.

CVE-2025-24259 : Noah Gregory (wts.dev)

Pro Res

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2025-31245 : wac

Security

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant à distance peut être en mesure de divulguer le contenu de la mémoire.

Description : un problème de dépassement d’entiers a été résolu par une meilleure validation des entrées.

CVE-2025-31221 : Dave G.

Security

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure d’accéder à des noms d’utilisateur associés et des sites Web inscrits dans le trousseau iCloud d’un utilisateur.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2025-31213 : Kirin (@Pwnrin) et 7feilee

StoreKit

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu grâce à l’amélioration de la définition des données personnelles pour la saisie.

CVE-2025-31242 : Eric Dorphy de Twin Cities App Dev LLC

Weather

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app malveillante peut être en mesure de lire des informations d’emplacement confidentielles.

Description : un problème de confidentialité a été résolu en retirant les données sensibles.

CVE-2025-31220 : Adam M.

WebKit

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un problème de confusion de types peut entraîner une corruption de la mémoire.

Description : ce problème a été résolu par une meilleure gestion des nombres à virgule flottante.

CVE-2025-24213 : Google V8 Security Team

WebKit

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : le problème a été résolu par une meilleure validation de l’entrée.

CVE-2025-31217 : Ignacio Sanmillan (@ulexec)

WebKit

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2025-31215 : Jiming Wang and Jikai Ren

WebKit

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : un problème de confusion liée aux types a été résolu par une meilleure gestion des états.

CVE-2025-31206 : un chercheur anonyme

Remerciements supplémentaires

Kernel

Nous tenons à remercier un chercheur anonyme pour son aide.