iPadOS 17.7.9のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年7月29日リリース
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:マイクまたはカメラへのアクセスに関するプライバシーインジケータが正しく表示されない可能性がある。
説明:追加ロジックを追加することで、この問題に対処しました。
CVE-2025-43217:Himanshu Bharti氏(@Xpl0itme)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:攻撃者にアプリを突然終了される可能性がある。
説明:脆弱なコードを削除することで、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2025-43222:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:特権を持たないユーザが、制限されたネットワーク設定を変更できる可能性がある。
説明:入力検証を強化し、サービス運用妨害の脆弱性に対処しました。
CVE-2025-43223:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2025-43220:Mickey Jin氏(@patch1t)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43210:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:アクセス権のチェックを追加で設けることで、この問題に対処しました。
CVE-2025-43230:ZUSO ARTおよびtaikosoupのChi Yuan Chang氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリがユーザの指紋を採ることができる場合がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-31279:Shuffle TeamのDawuge氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43209:Trend Micro Zero Day Initiativeに協力するGary Kwong氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2025-43226
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:リモートの攻撃者にシステムを突然終了される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24224:Tony Iskow氏(@Tybbow)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-7424:Google Project ZeroのIvan Fratric氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:「サーバ上の画像を読み込む」設定が無効になっていてもサーバ上のコンテンツが読み込まれる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-31276:Himanshu Bharti氏(@Xpl0itme)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2025-43225:Kirin氏(@Pwnrin)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:アプリが永続的なデバイス識別子を読み取れる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24220:SecuRingのWojciech Regula氏(wojciechregula.blog)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:291742
CVE-2025-31278:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:293730
CVE-2025-43211:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:295382
CVE-2025-43216:Ignacio Sanmillan氏(@ulexec)
対象:iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
WebKit Bugzilla:296459
CVE-2025-6558:GoogleのThreat Analysis GroupのClément Lecigne氏とVlad Stolyarov氏
Noah Weinberg氏(@zlluny)のご協力に感謝いたします。
Al Karak氏のご協力に感謝いたします。
DBAppSecurity's WeBin labのYingQi Shi氏(@Mas0nShi)のご協力に感謝いたします。
Google Project ZeroのSergei Glazunov氏のご協力に感謝いたします。
Google Project ZeroのIvan Fratric氏のご協力に感謝いたします。
ZUSO ARTおよびtaikosoupのChi Yuan Chang氏、Dennis Kniep氏のご協力に感謝いたします。