Om sikkerhetsinnholdet i iPadOS 17.7.4

Dette dokumentet beskriver sikkerhetsinnholdet i iPadOS 17.7.4.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iPadOS 17.7.4

AirPlay

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En angriper på det lokale nettverket kan korrumpere prosessminne

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, og Xingwei Lin fra Zhejiang University

CoreAudio

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24123: Desmond i samarbeid med Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car & Rotiple(HyeongSeok Jang) i samarbeid med Trend Micro Zero Day Initiative

CoreMedia Playback

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) og Lee Dong Ha (Who4mI)

CoreRoutine

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan være i stand til å fastslå brukerens nåværende posisjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24102: Kirin (@Pwnrin)

ICU

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-54478: Gary Kwong

ImageIO

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24086: DongJun Kim (@smlijun) og JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n

Kernel

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24118: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Kernel

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

libxslt

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-55549: Ivan Fratric fra Google Project Zero

CVE-2025-24855: Ivan Fratric fra Google Project Zero

Managed Configuration

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

QuartzCore

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54497: en anonym forsker i samarbeid med Trend Micro Zero Day Initiative

SceneKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-24149: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Ytterligere anerkjennelser

CoreAudio

Vi vil gjerne takke Google Threat Analysis Group for hjelpen.

Static Linker

Vi vil gjerne takke Holger Fuhrmannek for hjelpen.