Zawartość związana z zabezpieczeniami w systemie iPadOS 17.7.4
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie iPadOS 17.7.4.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
iPadOS 17.7.4
Wydano 27 stycznia 2025 r.
AirPlay
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: atakujący zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: analizowanie pliku może spowodować nieoczekiwane zamknięcie aplikacji
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin z Uniwersytetu Zhejiang
CoreAudio
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: analizowanie pliku może spowodować nieoczekiwane zamknięcie aplikacji
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24161: Threat Analysis Group firmy Google
CVE-2025-24160: Threat Analysis Group firmy Google
CVE-2025-24163: Threat Analysis Group firmy Google
CoreMedia
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: analizowanie pliku może spowodować nieoczekiwane zamknięcie aplikacji
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24123: Desmond pracujący w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2025-24124: Pwn2car i Rotiple (HyeongSeok Jang) pracujący w ramach programu Zero Day Initiative firmy Trend Micro
CoreRoutine
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: aplikacja może być w stanie określić bieżącą lokalizację użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24102: Kirin (@Pwnrin)
ICU
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2024-54478: Gary Kwong
ImageIO
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) w Enki WhiteHat, D4m0n
Kernel
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-24118: Joseph Ravichandran (@0xjprx) z MIT CSAIL
Kernel
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Managed Configuration
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: odtworzenie złośliwie spreparowanego pliku backupu może doprowadzić do modyfikacji chronionych plików systemowych.
Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
QuartzCore
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54497: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
SceneKit
Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji
Zagrożenie: analiza składni pliku może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2025-24149: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
Dodatkowe podziękowania
CoreAudio
Dziękujemy za udzieloną pomoc: Threat Analysis Group firmy Google.
CoreMedia Playback
Dziękujemy za udzieloną pomoc: Song Hyun Bae (@bshyuunn) i Lee Dong Ha (Who4mI).
Static Linker
Dziękujemy za udzieloną pomoc: Holger Fuhrmannek.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.