Tietoja iPadOS 17.7.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iPadOS 17.7.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

iPadOS 17.7.6

Accounts

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: arkaluontoisiin avainnipputietoihin saattoi päästä käsiksi iOS-varmuuskopiosta.

Kuvaus: ongelma on ratkaistu parantamalla tietojen käyttöoikeusrajoitusta.

CVE-2025-24221: Lehan Dilusha (@zorrosign, Sri Lanka) ja nimetön tutkija

Audio

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

BiometricKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2025-24237: Yutong Xiu

Calendar

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen äänitiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 17.2 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-24085

CoreMedia

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24211: Hossein Lotfi (@hosselot, Trend Micron Zero Day Initiative)

curl

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-9681

Foundation

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.

CVE-2025-30447: LFY@secsys (Fudan-yliopisto)

ImageIO

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: kuvan jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2025-24210: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kernel

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallinen appi saattoi pystyä kokeilemaan pääsykoodisyöttöjä lukitussa laitteessa ja näin aiheuttamaan yltyviä aikaviiveitä neljän epäonnistumisen jälkeen.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-30432: Michael (Biscuit) Thomas (@biscuit@social.lol)

Kernel

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24203: Ian Beer (Google Project Zero)

libxml2

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24178: nimetön tutkija

NetworkExtension

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30426: Jimmy

Photos

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30428: Jax Reissner

Power Services

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

CVE-2025-24113: @RenwaX23

Security

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai (Alibaba Group), Luyi Xing (Indianan yliopisto, Bloomington)

Shortcuts

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.

Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2025-30465: nimetön tutkija

Shortcuts

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-30433: Andrew James Gonzalez

Siri

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2025-24198: Richard Hyunho Im (@richeeta) yhteistyössä routezero.securityn kanssa

Siri

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2025-24205: YingQi Shi(@Mas0nShi, DBAppSecurity's WeBin lab) ja Minghao Lin (@Y1nKoc)

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallinen verkkosisältö saattoi pystyä poistumaan verkkosisällön eristyksestä. Tämä on lisäkorjaus hyökkäykselle, joka estettiin iOS 17.2:ssa. (Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan iOS 17.2 -versiota edeltävissä iOS-versioissa.)

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2025-24201: Apple

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30425: nimetön tutkija

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24216: Paul Bakker (ParagonERP)

CVE-2025-24264: Gary Kwong ja nimetön tutkija

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24209: Francisco Alonso (@revskills) ja nimetön tutkija

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54543: Lukas Bernhard, Gary Kwong ja nimetön tutkija

CVE-2024-54534: Tashita Software Security

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54508: Xiangwei Zhang (Tencent Security YUNDING LAB), linjy (HKUS3Lab), chluo (WHUSecLab) ja nimetön tutkija

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: tyyppisekaannusongelma saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla liukulukujen käsittelyä.

CVE-2025-24213: Google V8 Security Team

Kiitokset

Audio

Haluamme kiittää avusta Trend Micron Zero Day Initiativen parissa työskentelevää Hossein Lotfia (@hosselot).

Security

Haluamme kiittää avusta Kevin Jonesia (GitHub).