Сведения о проблемах системы безопасности, устраняемых обновлением iPadOS 17.7.4
В этом документе описаны проблемы системы безопасности, устраняемые в iPadOS 17.7.4.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
iPadOS 17.7.4
Дата выпуска: 27 января 2025 г.
AirPlay
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Злоумышленник может удаленно выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Проблема смешения типов устранена путем улучшенных проверок.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Чжэцзянского университета
CoreAudio
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24161: подразделение Threat Analysis Group компании Google
CVE-2025-24160: подразделение Threat Analysis Group компании Google
CVE-2025-24163: подразделение Threat Analysis Group компании Google
CoreMedia
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24123: Desmond в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CVE-2025-24124: Pwn2car и Rotiple (HyeongSeok Jang) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CoreRoutine
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может определить текущее местоположение пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24102: Kirin (@Pwnrin)
ICU
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2024-54478: Gary Kwong
ImageIO
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n
Kernel
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24118: Joseph Ravichandran (@0xjprx) из MIT CSAIL
Kernel
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Приложение может снимать отпечатки пальцев пользователя.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Managed Configuration
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. При восстановлении вредоносного файла резервной копии возможно изменение защищенных системных файлов.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
QuartzCore
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54497: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
SceneKit
Целевые продукты: iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Воздействие. Анализ файла может приводить к раскрытию данных пользователя.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2025-24149: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
Дополнительные благодарности
CoreAudio
Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.
CoreMedia Playback
Выражаем благодарность за помощь Song Hyun Bae (@bshyuunn) и Lee Dong Ha (Who4mI).
Static Linker
Выражаем благодарность за помощь Holger Fuhrmannek.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.