iPadOS 17.7.7のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年5月12日リリース
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリが任意のファイルのメタデータを読み取れる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24097:BREAKPOINT.SHのRon Masas氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-31251:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ管理を強化し、ダブルフリー(二重解放)の脆弱性に対処しました。
CVE-2025-31235:Google Project Zeroに協力するDillon Franke氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-31208:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成された ファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2025-31196:Trend Micro Zero Day Initiativeに協力するwac氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2025-31209::Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2025-31239:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-31233:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2025-24111:CyberservalのWang Yu氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:UIを改善することで、この問題を解決しました。
CVE-2025-31210:Andrew James Gonzalez氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:攻撃者が認証を経ずにiCloudフォルダの共有を有効にできる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2025-30448:Lyutoon氏およびYenKoc氏、Atredis PartnersのDayton Pidhirney氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成された画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-31226:Saagar Jha氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。
CVE-2025-24144:Mateusz Krzywicki氏(@krzywix)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:攻撃者によって突然システムが終了されたり、カーネルメモリが破損される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-31219:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)およびLucas Leong氏(@_wmliang_)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:リモート攻撃者によってアプリが突然終了される可能性がある。
説明:メモリ管理を強化し、ダブルフリー(二重解放)の脆弱性に対処しました。
CVE-2025-31241:Christian Kohlschütter氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:libexpatの複数の脆弱性が原因で、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-8176
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:メールを処理すると、ユーザインターフェイスを偽装される可能性がある。
説明:入力検証を強化し、インジェクションの脆弱性に対処しました。
CVE-2025-24225:Richard Hyunho Im氏(@richeeta)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:デバイスに物理的にアクセスできる攻撃者が、ロック画面からメモにアクセスできる可能性がある。
説明:認証を強化することで、この問題に対処しました。
CVE-2025-31228:Andr.Ess氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリがエンタイトルメントチェックなしにSafariのブックマークを取得できる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2025-24259:Noah Gregory氏(wts.dev)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-31245:wac氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:リモートの攻撃者が、メモリを漏洩させる可能性がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
CVE-2025-31221:Dave G.氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリがユーザのiCloudキーチェーンの関連ユーザ名とWebサイトにアクセスできる可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2025-31213:Kirin氏(@Pwnrin)および7feilee氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2025-31242:Twin Cities App Dev LLCのEric Dorphy氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意のあるアプリが、重要な位置情報を読み取れる可能性がある。
説明:機微なデータを削除することで、プライバシーの問題に対処しました。
CVE-2025-31220:Adam M.氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:型の取り違え(type confusion)の問題により、メモリが破損する可能性がある。
説明:浮動小数点の処理を改善することで、この問題に対処しました。
WebKit Bugzilla:286694
CVE-2025-24213:Google V8 Security Team
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:入力検証を強化することで、この問題に対処しました。
WebKit Bugzilla:289677
CVE-2025-31217:Ignacio Sanmillan氏(@ulexec)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:288814
CVE-2025-31215:Jiming Wang氏、Jikai Ren氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:ステート処理を強化し、型の取り違え(type confusion)の脆弱性に対処しました。
WebKit Bugzilla:290834
CVE-2025-31206:匿名の研究者
匿名の研究者のご協力に感謝いたします。