Zawartość związana z zabezpieczeniami w systemie iPadOS 17.7.7

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie iPadOS 17.7.7.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iPadOS 17.7.7

AirDrop

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie odczytać dowolne metadane pliku.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24097: Ron Masas z BREAKPOINT.SH

AppleJPEG

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2025-31251: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Audio

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd dwukrotnego zwolnienia pamięci przez poprawienie procedury zarządzania pamięcią.

CVE-2025-31235: Dillon Franke pracujący w ramach programu Google Project Zero

CoreAudio

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-31208: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreGraphics

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31196: wac pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CoreGraphics

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: analiza składni pliku może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-31209: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-31239: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2025-31233: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Display

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2025-24111: Wang Yu z Cyberserval

FaceTime

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie interfejsu użytkownika.

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: osoba atakująca może włączyć udostępnianie folderu iCloud bez uwierzytelniania.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-30448: Lyutoon i YenKoc, Dayton Pidhirney of Atredis Partners

ImageIO

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-31226: Saagar Jha

Kernel

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: atakujący może spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-31219: Michael DePlante (@izobashi) i Lucas Leong (@_wmliang_) w ramach programu Zero Day Initiative firmy Trend Micro

Kernel

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: atakujący zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji

Opis: naprawiono błąd dwukrotnego zwolnienia pamięci przez poprawienie procedury zarządzania pamięcią.

CVE-2025-31241: Christian Kohlschütter

libexpat

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: wiele problemów w bibliotece libexpat, w tym nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-8176

Mail Addressing

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie wiadomości e‑mail może doprowadzić do sfałszowania interfejsu użytkownika.

Opis: usunięto błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: osoba atakująca mająca fizyczny dostęp do urządzenia może być w stanie uzyskać dostęp do notatek z poziomu ekranu blokady.

Opis: ten błąd naprawiono przez ulepszenie uwierzytelniania.

CVE-2025-31228: Andr.Ess

Parental Controls

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie pobrać zakładki Safari bez sprawdzania uprawnień.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-31245: wac

Security

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31221: Dave G.

Security

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do powiązanych nazw użytkowników i witryn w pęku kluczy w iCloud użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-31213: Kirin (@Pwnrin) i 7feilee

StoreKit

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2025-31242: Eric Dorphy z Twin Cities App Dev LLC

Weather

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: złośliwa aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: rozwiązano problem z prywatnością przez usunięcie poufnych danych.

CVE-2025-31220: Adam M.

WebKit

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: problem z nieprawidłowym rozpoznawaniem typu może doprowadzić do uszkodzenia pamięci.

Opis: problem ten rozwiązano, poprawiając obsługę liczb zmiennoprzecinkowych.

CVE-2025-24213: Google V8 Security Team

WebKit

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-31215: Jiming Wang i Jikai Ren

WebKit

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2025-31206: anonimowy badacz

Dodatkowe podziękowania

Kernel

Dziękujemy anonimowemu badaczowi za pomoc.