Сведения о проблемах системы безопасности, устраняемых обновлением iPadOS 17.7.7

В этом документе описаны проблемы системы безопасности, устраняемые обновлением iPadOS 17.7.7.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iPadOS 17.7.7

AirDrop

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может считывать произвольные метаданные файла

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-24097: Ron Masas из BREAKPOINT.SH

AppleJPEG

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема устранена путем улучшения очистки ввода.

CVE-2025-31251: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Audio

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема двойного освобождения устранена путем улучшения управления памятью.

CVE-2025-31235: Dillon Franke в сотрудничестве с Google Project Zero

CoreAudio

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-31208: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreGraphics

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-31196: wac в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreGraphics

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Анализ файла может приводить к раскрытию данных пользователя.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-31209: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-31239: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема устранена путем улучшения очистки ввода.

CVE-2025-31233: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Display

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2025-24111: Wang Yu из CyberServal

FaceTime

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения пользовательского интерфейса.

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Злоумышленник может включить общий доступ к папке iCloud без аутентификации.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-30448: Lyutoon и YenKoc, Dayton Pidhirney из Atredis Partners

ImageIO

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-31226: Saagar Jha

Kernel

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема утечки информации решена посредством удаления уязвимого кода.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Злоумышленник может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-31219: Michael DePlante (@izobashi) и Lucas Leong (@_wmliang_) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Kernel

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема двойного освобождения устранена путем улучшения управления памятью.

CVE-2025-31241: Christian Kohlschütter

libexpat

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Ряд проблем в libexpat, в том числе неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-8176

Mail Addressing

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка сообщения электронной почты может приводить к подмене пользовательского интерфейса.

Описание. Проблема внедрения устранена путем улучшения проверки ввода.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Злоумышленник с физическим доступом к устройству может получать доступ к заметкам с экрана блокировки.

Описание. Проблема устранена путем улучшения аутентификации.

CVE-2025-31228: Andr.Ess

Parental Controls

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может извлекать закладки Safari без проверки прав.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-31245: wac

Security

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Удаленный злоумышленник может инициировать утечку данных памяти.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2025-31221: Dave G.

Security

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может получать доступ к связанным именам пользователя и веб-сайтам в Связке ключей iCloud пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-31213: Kirin (@Pwnrin) и 7feilee

StoreKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2025-31242: Eric Dorphy из Twin Cities App Dev LLC

Weather

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Вредоносное приложение может получить доступ к конфиденциальным данным о геопозиции.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2025-31220: Adam M.

WebKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Проблема смешения типов может привести к повреждению памяти.

Описание. Эта проблема устранена путем улучшения обработки значений с плавающей запятой.

CVE-2025-24213: Google V8 Security Team

WebKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-31215: Jiming Wang и Jikai Ren

WebKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.

CVE-2025-31206: анонимный исследователь

Дополнительные благодарности

Kernel

Выражаем благодарность за помощь анонимному исследователю.