Сведения о проблемах системы безопасности, устраняемых обновлением iPadOS 17.7.4

В этом документе описаны проблемы системы безопасности, устраняемые в iPadOS 17.7.4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iPadOS 17.7.4

Дата выпуска: 27 января 2025 г.

AirPlay

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Злоумышленник может удаленно выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Чжэцзянского университета

CoreAudio

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24161: подразделение Threat Analysis Group компании Google

CVE-2025-24160: подразделение Threat Analysis Group компании Google

CVE-2025-24163: подразделение Threat Analysis Group компании Google

CoreMedia

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24123: Desmond в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-24124: Pwn2car и Rotiple (HyeongSeok Jang) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreRoutine

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может определить текущее местоположение пользователя.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24102: Kirin (@Pwnrin)

ICU

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-54478: Gary Kwong

ImageIO

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n

Kernel

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24118: Joseph Ravichandran (@0xjprx) из MIT CSAIL

Kernel

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. При восстановлении вредоносного файла резервной копии возможно изменение защищенных системных файлов.

Описание. Проблема устранена путем улучшенной обработки символических ссылок.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

QuartzCore

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54497: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

SceneKit

Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения

Воздействие. Анализ файла может приводить к раскрытию данных пользователя.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-24149: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Дополнительные благодарности

CoreAudio

Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.

CoreMedia Playback

Выражаем благодарность за помощь Song Hyun Bae (@bshyuunn) и Lee Dong Ha (Who4mI).

Static Linker

Выражаем благодарность за помощь Holger Fuhrmannek.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: