Obsah zabezpečenia v systéme iPadOS 17.7.7

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iPadOS 17.7.7.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iPadOS 17.7.7

AirDrop

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná čítať ľubovoľné metaúdaje

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-24097: Ron Masas z tímu BREAKPOINT.SH

AppleJPEG

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31251: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Audio

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31235: Dillon Franke v spolupráci s tímom Google Project Zero

CoreAudio

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31208: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreGraphics

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-31196: wac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreGraphics

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-31209: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-31239: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31233: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Displej

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-24111: Wang Yu z tímu Cyberserval

FaceTime

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Tento problém bol vyriešený vylepšením používateľského rozhrania.

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Útočník môže byť schopný zapnúť zdieľanie priečinka v iCloude bez overenia

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-30448: Lyutoon a YenKoc, Dayton Pidhirney z tímu Atredis Partners

ImageIO

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31226: Saagar Jha

Kernel

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31219: Michael DePlante (@izobashi) a Lucas Leong (@_wmliang_) z projektu Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie

Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31241: Christian Kohlschütter

libexpat

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Viacero problémov v komponente libexpat vrátane neočakávaného ukončenia apky alebo spustenia ľubovoľného kódu

Popis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-8176

Mail Addressing

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie e-mailu môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Opis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Útočník s fyzickým prístupom k zariadeniu môže byť schopný získať prístup k poznámkam zo zamknutej obrazovky

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2025-31228: Andr.Ess

Parental Controls

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná načítať záložky Safari bez kontroly oprávnenia.

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31245: wac

Security

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-31221: Dave G.

Security

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná pristupovať k pridruženým menám používateľov a webovým stránkam v iCloud Kľúčenke používateľa

Popis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-31213: Kirin (@Pwnrin) a 7feilee

StoreKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2025-31242: Eric Dorphy z tímu Twin Cities App Dev LLC

Weather

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Škodlivá apka môže byť schopná čítať citlivé informácie o polohe

Popis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2025-31220: Adam M.

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Problém so zámenou typu môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením spracovania floatov.

CVE-2025-24213: Google V8 Security Team

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31215: Jiming Wang a Jikai Ren

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-31206: Anonymný výskumník

Ďalšie poďakovanie

Kernel

Poďakovanie za pomoc si zaslúži anonymný výskumník.