Om sikkerhetsinnholdet i iPadOS 17.7.9

Dette dokumentet beskriver sikkerhetsinnholdet i iPadOS 17.7.9.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iPadOS 17.7.9

Accessibility

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Personvernindikatorer for mikrofon- eller kameratilgang vises kanskje ikke riktig

Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

CFNetwork

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et problem med bruk etter frigjøring ble løst ved å fjerne den sårbare koden.

CVE-2025-43222: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

CFNetwork

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En bruker uten rettigheter kan endre begrensede nettverksinnstillinger

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret inndatavalidering.

CVE-2025-43223: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

copyfile

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan få tilgang til beskyttede brukerdata

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2025-43220: Mickey Jin (@patch1t)

CoreMedia

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43210: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia Playback

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.

CVE-2025-43230: Chi Yuan Chang fra ZUSO ART og taikosoup

Find My

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-31279: Dawuge fra Shuffle Team

ICU

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43209: Gary Kwong i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2025-43226

Kernel

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En ekstern angriper kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24224: Tony Iskow (@Tybbow)

libxslt

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-7424: Ivan Fratric fra Google Project Zero

Mail Drafts

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Eksternt innhold kan lastes inn selv når innstillingen «Last inn eksternt innhold» er slått av

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Notes

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-43225: Kirin (@Pwnrin)

Sandbox Profiles

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: En app kan kanskje lese en vedvarende enhetsidentifikator

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-24220: Wojciech Regula of SecuRing (wojciechregula.blog)

WebKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

WebKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei

WebKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Tilgjengelig for iPad Pro (12,9-tommers, 2. generasjon), iPad Pro (10,5-tommers) og iPad (6. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID-en på cve.org.

CVE-2025-6558: Clément Lecigne og Vlad Stolyarov fra Googles Threat Analysis Group

Ytterligere anerkjennelser

CoreAudio

Vi vil gjerne takke @zlluny, Noah Weinberg for hjelpen.

Device Management

Vi vil gjerne takke Al Karak for hjelpen.

Game Center

Vi vil gjerne takke YingQi Shi (@Mas0nShi) fra DBAppSecuritys WeBin lab for hjelpen.

libxml2

Vi vil gjerne takke Sergei Glazunov fra Google Project Zero for hjelpen.

libxslt

Vi vil gjerne takke Ivan Fratic fra Google Project Zero for hjelpen.

Shortcuts

Vi vil gjerne takke Chi Yuan Chang hos ZUSO ART og taikosoup og Dennis Kniep for hjelpen.