Проблеми системи безпеки, які усунено в оновленні iPadOS 17.7.7

У цьому документі описано проблеми системи безпеки, які усунено в оновленні iPadOS 17.7.7.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iPadOS 17.7.7

Дата випуску: 12 травня 2025 р.

AirDrop

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може читати довільні метадані файлів.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24097: Ron Masas із BREAKPOINT.SH

AppleJPEG

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему усунено завдяки поліпшеній обробці вводу.

CVE-2025-31251: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Audio

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему подвійного вивільнення вирішено завдяки поліпшенню керування пам’яттю.

CVE-2025-31235: Dillon Franke, що співпрацює з Google Project Zero

CoreAudio

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-31208: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreGraphics

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-31196: користувач wac, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreGraphics

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: аналіз файлу може призводити до розкриття інформації про користувача.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-31209: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreMedia

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-31239: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreMedia

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему усунено завдяки поліпшеній обробці вводу.

CVE-2025-31233: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Display

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.

CVE-2025-24111: Wang Yu із CyberServal

FaceTime

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.

CVE-2025-31210: Andrew James Gonzalez

iCloud Document Sharing

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: зловмисник може вмикати спільний доступ до папки iCloud без автентифікації.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-30448: Lyutoon і YenKoc, Dayton Pidhirney з Atredis Partners

ImageIO

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого зображення може призводити до відмови в обслуговуванні.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-31226: Saagar Jha

Kernel

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему витоку інформації вирішено шляхом видалення вразливого коду.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-31219: Michael DePlante (@izobashi) і Lucas Leong (@_wmliang_), що співпрацюють із компанією Trend Micro в межах ініціативи Zero Day Initiative

Kernel

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: віддалений зловмисник може призвести до неочікуваного завершення роботи програми.

Опис: проблему подвійного вивільнення вирішено завдяки поліпшенню керування пам’яттю.

CVE-2025-31241: Christian Kohlschütter

libexpat

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: кілька проблем у libexpat, зокрема несподіване завершення роботи програми або виконання довільного коду.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-8176

Mail Addressing

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка повідомлення електронної пошти може призводити до підміни інтерфейсу користувача.

Опис: проблему з ін’єкцією вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24225: Richard Hyunho Im (@richeeta)

Notes

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: зловмисник із фізичним доступом до пристрою може отримати доступ до нотаток із замкненого екрана.

Опис: цю проблему усунено завдяки вдосконаленню автентифікації.

CVE-2025-31228: Andr.Ess

Parental Controls

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може отримати закладки Safari без перевірки прав.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-24259: Noah Gregory (wts.dev)

Pro Res

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-31245: wac

Security

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: зловмисник може віддалено ініціювати витік пам’яті.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-31221: Dave G.

Security

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може отримувати доступ до пов’язаних імен користувача та вебсайтів у Вʼязці iCloud користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-31213: Kirin (@Pwnrin) і 7feilee

StoreKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.

CVE-2025-31242: Eric Dorphy з Twin Cities App Dev LLC

Погода

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: шкідлива програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.

CVE-2025-31220: Adam M.

WebKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: проблема переплутування типів може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки значень із рухомою комою.

WebKit Bugzilla: 286694

CVE-2025-24213: Google V8 Security Team

WebKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

WebKit Bugzilla: 289677

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 288814

CVE-2025-31215: Jiming Wang і Jikai Ren

WebKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.

WebKit Bugzilla: 290834

CVE-2025-31206: анонімний дослідник

Додаткова подяка

Kernel

Дякуємо за допомогу анонімному досліднику.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: