Сведения о проблемах системы безопасности, устраняемых обновлением iPadOS 17.7.4
В этом документе описаны проблемы системы безопасности, устраняемые в iPadOS 17.7.4.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
iPadOS 17.7.4
Дата выпуска: 27 января 2025 г.
AirPlay
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Злоумышленник, находящийся в локальной сети, может повредить память процессов.
Описание. Проблема смешения типов устранена путем улучшенных проверок.
CVE-2025-24137: Uri Katz (Oligo Security)
Запись обновлена 28 апреля 2025 г.
ARKit
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Чжэцзянского университета
CoreAudio
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24161: подразделение Threat Analysis Group компании Google
CVE-2025-24160: подразделение Threat Analysis Group компании Google
CVE-2025-24163: подразделение Threat Analysis Group компании Google
CoreMedia
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24123: Desmond в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CVE-2025-24124: Pwn2car и Rotiple (HyeongSeok Jang) в сотрудничестве с Trend Micro Zero Day Initiative
CoreMedia Playback
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) и Lee Dong Ha (Who4mI)
Запись добавлена 16 мая 2025 г.
CoreRoutine
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может определить текущее местоположение пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24102: Kirin (@Pwnrin)
ICU
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2024-54478: Gary Kwong
ImageIO
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n
Kernel
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24118: Joseph Ravichandran (@0xjprx) из MIT CSAIL
Kernel
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может снимать отпечатки пальцев пользователя.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2024-55549: Ivan Fratric из Google Project Zero
CVE-2025-24855: Ivan Fratric из Google Project Zero
Запись обновлена 16 мая 2025 г.
Managed Configuration
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. При восстановлении вредоносного файла резервной копии возможно изменение защищенных системных файлов.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
QuartzCore
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54497: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
SceneKit
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Анализ файла может приводить к раскрытию данных пользователя.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2025-24149: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
Дополнительные благодарности
CoreAudio
Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.
Static Linker
Выражаем благодарность за помощь Holger Fuhrmannek.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.