Informazioni sui contenuti di sicurezza di iPadOS 17.7.6

In questo documento vengono descritti i contenuti di sicurezza di iPadOS 17.7.6.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iPadOS 17.7.6

Account

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un backup di iOS potrebbe accedere ai dati sensibili di un portachiavi.

Descrizione: questo problema è stato risolto attraverso una maggiore restrizione dell'accesso ai dati.

CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka e un ricercatore anonimo

Audio

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24243: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

Audio

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24244: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

BiometricKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2025-24237: Yutong Xiu

Calendar

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: la riproduzione di un file audio dannoso può causare la chiusura improvvisa dell'app.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24230: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreMedia

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 17.2.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-24085

CoreMedia

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24190: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreMedia

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: questo problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24211: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

curl

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: è stato risolto un problema di convalida dell'input.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-9681

Foundation

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto ripulendo i log

CVE-2025-30447: LFY@secsys dell'Università Fudan

ImageIO

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'analisi di un'immagine potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema logico è stato risolto con una migliore gestione degli errori.

CVE-2025-24210: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Kernel

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app dannosa potrebbe tentare di accedere ai codici su un dispositivo bloccato e causare l'escalation di ritardi temporali dopo 4 tentativi non andati a buon fine.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

Kernel

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24203: Ian Beer di Google Project Zero

libxml2

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24178: un ricercatore anonimo

NetworkExtension

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-30426: Jimmy

Photos

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30428: Jax Reissner

Power Services

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.

CVE-2025-24113: @RenwaX23

Security

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai di Alibaba Group, Luyi Xing dell'Indiana University Bloomington

Shortcuts

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un comando rapido potrebbe accedere a file che sono normalmente inaccessibili per l'app Comandi rapidi.

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2025-30465: un ricercatore anonimo

Shortcuts

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un comando rapido potrebbe accedere a file che sono normalmente inaccessibili per l'app Comandi rapidi.

Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2025-24198: Richard Hyunho Im (@richeeta) con routezero.security

Siri

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24205: YingQi Shi(@Mas0nShi) del WeBin lab di DBAppSecurity e Minghao Lin (@Y1nKoc)

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: contenuti web pericolosi possono uscire dalla sandbox dei contenuti web. Questa è una soluzione supplementare per un attacco che è stato bloccato in iOS 17.2. (Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici sulle versioni di iOS precedenti ad iOS 17.2.)

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso controlli migliori per evitare azioni non autorizzate.

CVE-2025-24201: Apple

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un sito web dannoso può essere in grado di monitorare gli utenti nella modalità di navigazione privata di Safari.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30425: un ricercatore anonimo

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24216: Paul Bakker di ParagonERP

CVE-2025-24264: Gary Kwong e un ricercatore anonimo

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-24209: Francisco Alonso (@revskills) e un ricercatore anonimo

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-54543: Lukas Bernhard, Gary Kwong e un ricercatore anonimo

CVE-2024-54534: Tashita Software Security

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-54508: Xiangwei Zhang di Tencent Security YUNDING LAB, linjy di HKUS3Lab e chluo di WHUSecLab e un ricercatore anonimo

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54502: Brendon Tiszka di Google Project Zero

WebKit

Disponibile per: iPad Pro 12,9 pollici 2a generazione, iPad Pro 10,5 pollici e iPad 6a generazione

Impatto: un problema di confusione dei tipi può comportare il danneggiamento della memoria

Descrizione: il problema è stato risolto attraverso una migliore gestione dei numeri in virgola mobile.

CVE-2025-24213: Google V8 Security Team

Altri riconoscimenti

Audio

Ringraziamo Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative per l'assistenza.

Security

Ringraziamo Kevin Jones (GitHub) per l'assistenza.