Az iPadOS 17.7.9 biztonsági változásjegyzéke

Ez a dokumentum az iPadOS 17.7.9 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iPadOS 17.7.9

Accessibility

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A mikrofon- és kamera-hozzáférésre vonatkozó adatvédelmi jelzők nem mindig jelentek meg megfelelően

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

CFNetwork

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a kétszeres felszabadítást előidéző problémát.

CVE-2025-43222: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CFNetwork

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2025-43223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

copyfile

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43220: Mickey Jin (@patch1t)

CoreMedia

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2025-43230: Chi Yuan Chang (ZUSO ART) és taikosoup

Find My

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31279: Dawuge, Shuffle Team

ICU

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43209: Gary Kwong a Trend Micro Zero Day Initiative közreműködőjeként

ImageIO

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43226

Kernel

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Távoli támadók bizonyos esetekben váratlan rendszerleállást tudtak előidézni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24224: Tony Iskow (@Tybbow)

libxslt

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-7424: Ivan Fratric (Google Project Zero)

Mail Drafts

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Akkor is be lehetett tölteni távoli tartalmakat, ha a „Távoli képek betöltése” beállítás ki volt kapcsolva

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Notes

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43225: Kirin (@Pwnrin)

Sandbox Profiles

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy egy alkalmazás olvasni tudta az állandó készülékazonosítókat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24220: Wojciech Regula (SecuRing, wojciechregula.blog)

WebKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.

CVE-2025-6558: Clément Lecigne és Vlad Stolyarov (Google Threat Analysis Group)

További köszönetnyilvánítás

CoreAudio

Köszönjük @zlluny, Noah Weinberg segítségét.

Device Management

Köszönjük Al Karak segítségét.

Game Center

Köszönjük YingQi Shi (@Mas0nShi, DBAppSecurity, WeBin lab) segítségét.

libxml2

Köszönjük Sergei Glazunov (Google Project Zero) segítségét.

libxslt

Köszönjük Ivan Fratric (Google Project Zero) segítségét.

Shortcuts

Köszönjük Chi Yuan Chang (ZUSO ART), taikosoup és Dennis Kniep segítségét.