Сведения о проблемах системы безопасности, устраняемых обновлением iPadOS 17.7.9

В этом документе описаны проблемы системы безопасности, устраняемые обновлением iPadOS 17.7.9.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iPadOS 17.7.9

Accessibility

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Индикаторы конфиденциальности микрофона или камеры могут неправильно отображаться.

Описание. Проблема устранена путем добавления дополнительной логики.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

CFNetwork

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема с использованием данных после освобождения памяти устранена путем удаления уязвимого кода.

CVE-2025-43222: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

CFNetwork

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Непривилегированный пользователь может изменять настройки ограничения доступа к сети.

Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.

CVE-2025-43223: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

copyfile

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43220: Mickey Jin (@patch1t)

CoreMedia

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43210: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia Playback

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем ввода дополнительных проверок разрешений.

CVE-2025-43230: Chi Yuan Chang из ZUSO ART и taikosoup

Find My

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-31279: Dawuge из Shuffle Team

ICU

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43209: Gary Kwong в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

ImageIO

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43226

Kernel

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24224: Tony Iskow (@Tybbow)

libxslt

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-7424: Ivan Fratric из Google Project Zero

Mail Drafts

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Контент из удаленных источников может загружаться, даже когда отключен параметр «Загружать внешние изображения».

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Notes

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43225: Kirin (@Pwnrin)

Sandbox Profiles

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может считывать постоянный идентификатор устройства.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-24220: Wojciech Regula из SecuRing (wojciechregula.blog)

WebKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

CVE-2025-6558: Clément Lecigne и Vlad Stolyarov из подразделения Threat Analysis Group в Google

Дополнительные благодарности

CoreAudio

Выражаем благодарность за помощь пользователям @zlluny и Noah Weinberg.

Device Management

Выражаем благодарность за помощь пользователю Al Karak.

Game Center

Выражаем благодарность за помощь YingQi Shi (@Mas0nShi) из лаборатории WeBin компании DBAppSecurity.

libxml2

Выражаем благодарность за помощь пользователю Sergei Glazunov из подразделения Google Project Zero.

libxslt

Выражаем благодарность за помощь Ivan Fratric из подразделения Google Project Zero.

Shortcuts

Выражаем благодарность за помощь пользователям Chi Yuan Chang из ZUSO ART, taikosoup и Dennis Kniep.