Over de beveiligingsinhoud van iPadOS 17.7.6

In dit document wordt de beveiligingsinhoud van iPadOS 17.7.6 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iPadOS 17.7.6

Accounts

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: gevoelige sleutelhangergegevens zijn mogelijk toegankelijk vanuit een iOS-back-up

Beschrijving: dit probleem is verholpen door middel van verbeterde beperking van gegevenstoegang.

CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka en een anonieme onderzoeker

Audio

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24243: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Audio

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24244: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

BiometricKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2025-24237: Yutong Xiu

Calendar

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het afspelen van een kwaadaardig audiobestand kan mogelijk leiden tot het onverwacht beëindigen van apps

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-24230: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een kwaadaardig programma kan de bevoegdheden verhogen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS vóór iOS 17.2.

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2025-24085

CoreMedia

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24190: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: dit probleem is verholpen door verbeterde verwerking van het geheugen.

CVE-2025-24211: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

curl

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over het probleem en de CVE-ID naar cve.org.

CVE-2024-9681

Foundation

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door de logboekregistratie op te schonen

CVE-2025-30447: LFY@secsys van Fudan University

ImageIO

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het parseren van een afbeelding kan mogelijk leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een logicaprobleem is verholpen door een verbeterde behandeling van fouten.

CVE-2025-24210: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een kwaadaardige app kan mogelijk pogingen doen om de toegangscode in te voeren op een vergrendeld apparaat, waardoor een steeds langere tijdvertraging wordt veroorzaakt na 4 mislukte pogingen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

Kernel

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24203: Ian Beer van Google Project Zero

libxml2

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over het probleem en de CVE-ID naar cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-24178: een anonieme onderzoeker

NetworkExtension

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-30426: Jimmy

Photos

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: foto's in het album 'Verborgen' kunnen mogelijk zonder validatie worden bekeken

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-30428: Jax Reissner

Power Services

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

CVE-2025-24113: @RenwaX23

Security

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een externe gebruiker kan een denial-of-service veroorzaken

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2025-30471: Bing Shi, Wenchao Li en Xiaolong Bai van Alibaba Group, Luyi Xing van Indiana University Bloomington

Shortcuts

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een opdracht kan mogelijk toegang krijgen tot bestanden die normaal gesproken niet toegankelijk zijn in de Opdrachten-app

Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.

CVE-2025-30465: een anonieme onderzoeker

Shortcuts

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een opdracht kan mogelijk toegang krijgen tot bestanden die normaal gesproken niet toegankelijk zijn in de Opdrachten-app

Beschrijving: dit probleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2025-30433: Andrew James Gonzalez

Siri

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een aanvaller met fysieke toegang kan mogelijk Siri gebruiken om toegang te krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2025-24198: Richard Hyunho Im (@richeeta) met routezero.security

Siri

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-24205: YingQi Shi (@Mas0nShi) van DBAppSecurity's WeBin lab en Minghao Lin (@Y1nKoc)

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: kwaadwillig vervaardigd webmateriaal kan mogelijk buiten de webmateriaal-sandbox komen. Dit is een aanvullende oplossing voor een aanval die is geblokkeerd in iOS 17.2. (Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem bij een uiterst geavanceerde aanval tegen specifiek getargete personen in oudere versies van iOS dan iOS 17.2.)

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.

CVE-2025-24201: Apple

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een kwaadaardige website kan gebruikers in de privémodus van Safari volgen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-30425: een anonieme onderzoeker

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24216: Paul Bakker van ParagonERP

CVE-2025-24264: Gary Kwong en een anonieme onderzoeker

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

CVE-2025-24209: Francisco Alonso (@revskills) en een anonieme onderzoeker

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-54543: Lukas Bernhard, Gary Kwong en een anonieme onderzoeker

CVE-2024-54534: Tashita Software Security

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-54508: Xiangwei Zhang van Tencent Security YUNDING LAB, linjy van HKUS3Lab en chluo van WHUSecLab en een anonieme onderzoeker

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54502: Brendon Tiszka van Google Project Zero

WebKit

Beschikbaar voor: iPad Pro 12,9-inch 2e generatie, iPad Pro 10,5-inch en iPad 6e generatie

Impact: een type confusion-probleem kan mogelijk leiden tot het beschadigen van het geheugen

Beschrijving: dit probleem is verholpen door verbeterde verwerking van floats.

CVE-2025-24213: Google V8 Security Team

Aanvullende erkenning

Audio

Met dank aan Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative voor de hulp.

Security

Met dank aan Kevin Jones (GitHub) voor de hulp.