Om sikkerhetsinnholdet i iPadOS 17.7.7

Dette dokumentet beskriver sikkerhetsinnholdet i iPadOS 17.7.7.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iPadOS 17.7.7

AirDrop

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan være i stand til å lese vilkårlig filmetadata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-24097: Ron Masas fra BREAKPOINT.SH

AppleJPEG

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31251: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Audio

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31235: Dillon Franke i samarbeid med Google Project Zero

CoreAudio

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31208: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreGraphics

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2025-31196: wac i samarbeid med Trend Micro Zero Day Initiative

CoreGraphics

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-31209: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31239: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av en skadelig videofil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31233: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Display

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-24111: Wang Yu fra Cyberserval

FaceTime

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst med et forbedret brukergrensesnitt.

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En angriper kan slå på deling av en iCloud-mappe uten autentisering

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2025-30448: Lyutoon og YenKoc, Dayton Pidhirney fra Atredis Partners

ImageIO

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2025-31226: Saagar Jha

Kernel

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-31219: Michael DePlante (@izobashi) og Lucas Leong (@_wmliang_) fra Trend Micro Zero Day Initiative

Kernel

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En ekstern angriper kan forårsake uventet avslutning av et program

Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31241: Christian Kohlschütter

libexpat

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Flere problemer i libexpat, inkludert uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-8176

Mail Addressing

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av en e-postmelding kan føre til forfalskning av brukergrensesnittet

Beskrivelse: Et injeksjonsproblem ble løst gjennom forbedret validering av inndata.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En angriper med fysisk tilgang til en enhet kan få tilgang til notater fra låst skjerm

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2025-31228: Andr.Ess

Parental Controls

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan hente Safari-bokmerker uten rettighetskontroll

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31245: wac

Security

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2025-31221: Dave G.

Security

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan få tilgang til tilknyttede brukernavn og nettsteder i iCloud-nøkkelringen til en bruker

Beskrivelse: Et logginggsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-31213: Kirin (@Pwnrin) og 7feilee

StoreKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2025-31242: Eric Dorphy fra Twin Cities App Dev LLC

Weather

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En ondsinnet app kan være i stand til å lese sensitiv stedsinformasjon

Beskrivelse: Et personvernproblem ble løst ved å fjerne sensitive data.

CVE-2025-31220: Adam M.

WebKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Et skriveforvirringsproblem kunne føre til et ødelagt minne

Beskrivelse: Dette problemet ble løst gjennom forbedret håndtering av flyt.

CVE-2025-24213: Google V8 Security Team

WebKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31215: Jiming Wang og Jikai Ren

WebKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-31206: en anonym forsker

Ytterligere anerkjennelser

Kernel

Vi vil gjerne takke en anonym forsker for hjelpen.