Over de beveiligingsinhoud van iPadOS 17.7.9

In dit document wordt de beveiligingsinhoud van iPadOS 17.7.9 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iPadOS 17.7.9

Accessibility

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: de privacy-indicator voor de microfoon of camera wordt mogelijk onjuist weergegeven

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

CFNetwork

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een aanvaller kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een probleem met gebruik na vrijgave is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43222: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

CFNetwork

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een niet-geprivilegieerde gebruiker kan mogelijk beperkte netwerkinstellingen wijzigen

Beschrijving: een denial-of-service-probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43223: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

copyfile

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2025-43220: Mickey Jin (@patch1t)

CoreMedia

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43210: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia Playback

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door aanvullende controles op bevoegdheden.

CVE-2025-43230: Chi Yuan Chang van ZUSO ART en taikosoup

Find My

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-31279: Dawuge van Shuffle Team

ICU

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43209: Gary Kwong in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-43226

Kernel

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een aanvaller op afstand kan het onverwacht beëindigen van een systeem veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24224: Tony Iskow (@Tybbow)

libxslt

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-7424: Ivan Fratric van Google Project Zero

Mail Drafts

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: Content op afstand kan worden geladen, zelfs als de instelling ‘Afbeeldingen op afstand laden’ is uitgeschakeld.

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Notes

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43225: Kirin (@Pwnrin)

Sandbox Profiles

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan een permanente apparaat-ID lezen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-24220: Wojciech Regula of SecuRing (wojciechregula.blog)

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-6558: Clément Lecigne en Vlad Stolyarov van de Threat Analysis Group van Google

Aanvullende erkenning

CoreAudio

Met dank aan @zlluny en Noah Weinberg voor de hulp.

Device Management

Met dank aan Al Karak voor de hulp.

Game Center

Met dank aan YingQi Shi (@Mas0nShi) van het WeBin lab van DBAppSecurity voor de hulp.

libxml2

Met dank aan Sergei Glazunov van Google Project Zero voor de hulp.

libxslt

Met dank aan Ivan Fratric van Google Project Zero voor de hulp.

Shortcuts

Met dank aan Chi Yuan Chang van ZUSO ART and taikosoup en Dennis Kniep voor de hulp.