Over de beveiligingsinhoud van iPadOS 17.7.4
In dit document wordt de beveiligingsinhoud van iPadOS 17.7.4 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iPadOS 17.7.4
Releasedatum: 27 januari 2025
AirPlay
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu en Xingwei Lin van Zhejiang University
CoreAudio
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24123: Desmond in samenwerking met Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) in samenwerking met Trend Micro Zero Day Initiative
CoreRoutine
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: een app kan mogelijk de huidige locatie van een gebruiker bepalen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24102: Kirin (@Pwnrin)
ICU
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2024-54478: Gary Kwong
ImageIO
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-24086: DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n
Kernel
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-24118: Joseph Ravichandran (@0xjprx) van MIT CSAIL
Kernel
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Managed Configuration
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden
Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
QuartzCore
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-54497: Anoniem in samenwerking met Trend Micro Zero Day Initiative
SceneKit
Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie
Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2025-24149: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
Aanvullende erkenning
CoreAudio
Met dank aan Google Threat Analysis Group voor de hulp.
CoreMedia Playback
Met dank aan Song Hyun Bae (@bshyuunn) en Lee Dong Ha (Who4mI) voor de hulp.
Static Linker
Met dank aan Holger Fuhrmannek voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.