Over de beveiligingsinhoud van iPadOS 17.7.7

In dit document wordt de beveiligingsinhoud van iPadOS 17.7.7 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iPadOS 17.7.7

AirDrop

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan mogelijk willekeurige bestandsmetadata lezen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-24097: Ron Masas van BREAKPOINT.SH

AppleJPEG

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2025-31251: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Audio

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-31235: Dillon Franke in samenwerking met Google Project Zero

CoreAudio

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31208: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreGraphics

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service of kan geheugeninhoud vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-31196: wac in samenwerking met Trend Micro Zero Day Initiative

CoreGraphics

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-31209: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-31239: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2025-31233: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Display

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2025-24111: Wang Yu van Cyberserval

FaceTime

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een aanvaller kan misschien zonder in te loggen het delen van een iCloud-map inschakelen.

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-30448: Lyutoon en YenKoc, Dayton Pidhirney van Atredis Partners

ImageIO

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-31226: Saagar Jha

Kernel

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-31219: Michael DePlante (@izobashi) en Lucas Leong (@_wmliang_) van Trend Micro Zero Day Initiative

Kernel

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een externe aanvaller kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-31241: Christian Kohlschütter

libexpat

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: rr zijn een paar problemen in libexpat, zoals dat apps ineens stoppen of dat er zomaar code wordt uitgevoerd.

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-8176

Mail Addressing

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een e-mailbericht kan leiden tot UI-spoofing

Beschrijving: een probleem met invoegen is opgelost met verbeterde invoervalidatie.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een aanvaller met fysieke toegang tot een apparaat heeft toegang tot notities vanaf het toegangsscherm

Beschrijving: het probleem is verholpen door verbeterde authenticatie.

CVE-2025-31228: Andr.Ess

Parental Controls

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan mogelijk Safari-bladwijzers ophalen zonder dat de bevoegdheden worden gecontroleerd

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31245: wac

Security

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een externe aanvaller kan geheugen vrijgeven

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2025-31221: Dave G.

Security

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: Een app kan toegang krijgen tot gekoppelde gebruikersnamen en websites in de iCloud Keychain van een gebruiker

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-31213: Kirin (@Pwnrin) en 7feilee

StoreKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2025-31242: Eric Dorphy van Twin Cities App Dev LLC

Weather

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een kwaadaardige app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacy probleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2025-31220: Adam M.

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een type confusion-probleem kan mogelijk leiden tot het beschadigen van het geheugen

Beschrijving: dit probleem is verholpen door verbeterde verwerking van floats.

CVE-2025-24213: Google V8 Security Team

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31215: Jiming Wang en Jikai Ren

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2025-31206: een anonieme onderzoeker

Aanvullende erkenning

Kernel

Met dank aan een anonieme onderzoeker voor de hulp.