เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iPadOS 17.7.7

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ iPadOS 17.7.7

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่แผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iPadOS 17.7.7

AirDrop

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปอาจอ่านข้อมูลเมตาของไฟล์โดยพลการ

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2025-24097: Ron Masas จาก BREAKPOINT.SH

AppleJPEG

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2025-31251: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

Audio

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหา Double Free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-31235: Dillon Franke ทำงานร่วมกับ Google Project Zero

CoreAudio

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2025-31208: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CoreGraphics

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-31196: wac ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

CoreGraphics

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-31209: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CoreMedia

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-31239: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CoreMedia

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2025-31233: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

Display

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-24111: Wang Yu จาก Cyberserval

FaceTime

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิดการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุง UI ให้ดียิ่งขึ้น

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: ผู้โจมตีอาจเปิดการแชร์โฟลเดอร์ iCloud ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม

CVE-2025-30448: Lyutoon และ YenKoc, Dayton Pidhirney of Atredis Partners

ImageIO

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-31226: Saagar Jha

Kernel

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยง

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: ผู้โจมตีอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือทำให้หน่วยความจำเคอร์เนลเสียหายได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-31219: Michael DePlante (@izobashi) และ Lucas Leong (@_wmliang_) of Trend Micro Zero Day Initiative

Kernel

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหา Double Free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-31241: Christian Kohlschütter

libexpat

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: พบหลายปัญหาใน libexpat รวมถึงการที่แอปหยุดทำงานโดยไม่คาดคิดหรือการรันโค้ดโดยพลการ

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2024-8176

Mail Addressing

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลอีเมลอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: ปัญหาการป้อนข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: ผู้โจมตีที่เข้าถึงตัวเครื่องของอุปกรณ์อาจเข้าถึงโน้ตจากหน้าจอล็อคได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น

CVE-2025-31228: Andr.Ess

Parental Controls

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปอาจดึงข้อมูลที่คั่นหน้าของ Safari ได้โดยไม่ต้องตรวจสอบสิทธิ์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2025-31245: wac

Security

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2025-31221: Dave G.

Security

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปอาจเข้าถึงชื่อผู้ใช้และเว็บไซต์ที่เกี่ยวข้องในพวงกุญแจ iCloud ของผู้ใช้ได้

คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น

CVE-2025-31213: Kirin (@Pwnrin) และ 7feilee

StoreKit

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2025-31242: Eric Dorphy of Twin Cities App Dev LLC

Weather

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: แอปที่ประสงค์ร้ายอาจอ่านข้อมูลที่อ่อนไหวเกี่ยวกับตำแหน่งที่ตั้งได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการลบข้อมูลที่ละเอียดอ่อน

CVE-2025-31220: Adam M.

WebKit

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: ปัญหาความสับสนของประเภทอาจทำให้เกิดความเสียหายต่อหน่วยความจำ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ floats

CVE-2025-24213: Google V8 Security Team

WebKit

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2025-31215: Jiming Wang และ Jikai Ren

WebKit

พร้อมให้ใช้งานสำหรับ: iPad Pro 12.9 นิ้ว รุ่นที่ 2, iPad Pro 10.5 นิ้ว และ iPad รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-31206: นักวิจัยนิรนาม

คำขอบคุณพิเศษ

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม