Informationen zum Sicherheitsinhalt von iPadOS 17.7.6

In diesem Dokument wird der Sicherheitsinhalt von iPadOS 17.7.6 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iPadOS 17.7.6

Accounts

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Auf vertrauliche Schlüsselbunddaten kann über ein iOS-Backup zugegriffen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Zugriffsbeschränkung behoben.

CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka und ein anonymer Forscher

Audio

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24243: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Audio

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24244: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

BiometricKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-24237: Yutong Xiu

Calendar

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise auf private Daten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Wiedergabe einer in böswilliger Absicht erstellten Audiodatei kann zu einem unerwarteten App-Abbruch führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24230: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreMedia

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Ein Schadprogramm kann die Rechte erhöhen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell gegen Versionen von iOS vor iOS 17.2 aktiv ausgenutzt wurde.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24085

CoreMedia

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24190: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreMedia

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Dieses Problem wurde durch verbesserte Speicherverwaltung behoben.

CVE-2025-24211: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative

curl

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2024-9681

Foundation

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch Bereinigen der Protokollierung behoben.

CVE-2025-30447: LFY@secsys von der Fudan-Universität

ImageIO

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Analyse eines Bildes kann zur Preisgabe von Benutzerinformationen führen

Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2025-24210: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Kernel

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine in böser Absicht erstellte App kann Versuche von Code-Eingaben auf einem gesperrten Gerät unternehmen und dadurch nach vier Fehlversuchen steigende Zeitverzögerungen verursachen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30432: Michael (Biscuit) Thomas –·@biscuit@social.lol

Kernel

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24203: Ian Beer von Google Project Zero

libxml2

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-27113

CVE-2024-56171

libxpc

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24178: Ein anonymer Forscher

NetworkExtension

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-30426: Jimmy

Photos

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Fotos im ausgeblendeten Fotoalbum können möglicherweise ohne Authentifizierung angezeigt werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30428: Jax Reissner

Power Services

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Das Problem wurde durch verbesserte UI behoben.

CVE-2025-24113: @RenwaX23

Security

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2025-30471: Bing Shi, Wenchao Li Xiaolong Bai von der Alibaba Group, Luyi Xing von der Indiana University Bloomington

Shortcuts

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Ein Kurzbefehl kann auf Dateien zugreifen, die normalerweise für die Kurzbefehle-App nicht zugänglich sind.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-30465: Ein anonymer Forscher

Shortcuts

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Ein Kurzbefehl kann auf Dateien zugreifen, die normalerweise für die Kurzbefehle-App nicht zugänglich sind.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-30433: Andrew James Gonzalez

Siri

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Ein Angreifer mit physischem Zugriff kann möglicherweise mithilfe von Siri auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2025-24198: Richard Hyunho Im (@richeeta) mit routezero.security

Siri

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24205: YingQi Shi (@Mas0nShi) von DBAppSecurity's WeBin Lab und Minghao Lin (@Y1nKoc)

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: In böser Absicht erstellter Webinhalt kann möglicherweise die Webinhalt-Sandbox umgehen. Dies ist eine zusätzliche Korrektur für einen Angriff, der in iOS 17.2 blockiert wurde. (Apple hat Kenntnis von einer Meldung erlangt, dass dieses Problem durch einen äußerst ausgefeilten Angriff auf bestimmte Zielpersonen in iOS Versionen vor 17.2 ausgenutzt worden sein könnte.)

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2025-24201: Apple

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus „Privates Surfen“ aktiviert ist

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30425: Ein anonymer Forscher

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24216: Paul Bakker von ParagonERP

CVE-2025-24264: Gary Kwong und eine anonyme forschende Person

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24209: Francisco Alonso (@revskills) und eine anonyme forschende Person

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu Fehlern beim Speicher führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2024-54543: Lukas Bernhard, Gary Kwong und ein anonymer Forscher

CVE-2024-54534: Tashita Software Security

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2024-54508: Xiangwei Zhang von Tencent Security YUNDING LAB, linjy von HKUS3Lab und chluo von WHUSecLab sowie eine anonyme forschende Person

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2024-54502: Brendon Tiszka von Google Project Zero

WebKit

Verfügbar für: iPad Pro (12,9“, 2. Generation), iPad Pro (10,5“) und iPad (6. Generation)

Auswirkung: Eine Art Verwechslungsproblem könnte zu Fehlern beim Speicher führen

Beschreibung: Dieses Problem wurde durch eine verbesserte Verarbeitung von Floats behoben.

CVE-2025-24213: Sicherheitsteam von Google V8

Zusätzliche Danksagung

Audio

Wir möchten uns bei Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro für die Unterstützung bedanken.

Security

Wir möchten uns bei Kevin Jones (GitHub) für die Unterstützung bedanken.