Sobre o conteúdo de segurança do iPadOS 17.7.6

Este documento descreve o conteúdo de segurança do iPadOS 17.7.6.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

iPadOS 17.7.6

Accounts

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: dados confidenciais das chaves podem ser acessados por meio de um backup do iOS

Descrição: o problema foi resolvido por meio de melhorias nas restrições de acesso a dados.

CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka e pesquisador anônimo

Audio

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24243: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

Audio

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24244: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

BiometricKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-24237: Yutong Xiu

Calendar

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode conseguir sair de sua área restrita

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app mal-intencionado pode ter acesso a informações privadas

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: a reprodução de um arquivo de áudio mal-intencionado pode levar ao encerramento inesperado do app

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-24230: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um aplicativo malicioso pode elevar privilégios. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado em relação a versões do iOS lançadas antes do iOS 17.2.

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2025-24085

CoreMedia

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: o processamento de um arquivo de vídeo criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24190: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: o processamento de um arquivo de vídeo criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: esse problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24211: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

curl

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um problema na validação de entradas foi resolvido

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-9681

Foundation

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido pela sanitização do registro

CVE-2025-30447: LFY@secsys da Fudan University

ImageIO

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: a análise de uma imagem pode levar à divulgação de informações do usuário

Descrição: um erro de lógica foi resolvido com a melhoria do tratamento de erros.

CVE-2025-24210: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

Kernel

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app mal-intencionado pode tentar inserir a senha em um dispositivo bloqueado e, assim, causar atrasos de tempo escalonados após 4 falhas

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-30432: Michael (Biscuit) Thomas — @biscuit@social.lol

Kernel

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24203: Ian Beer do Google Project Zero

libxml2

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-24178: pesquisador anônimo

NetworkExtension

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.

CVE-2025-30426: Jimmy

Photos

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: as fotos no álbum de fotos ocultas podem ser visualizadas sem autenticação

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-30428: Jax Reissner

Power Services

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

Descrição: o problema foi resolvido por meio de melhorias da interface do usuário.

CVE-2025-24113: @RenwaX23

Security

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um usuário remoto podia causar uma negação de serviço

Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai do Alibaba Group, Luyi Xing da Indiana University Bloomington

Shortcuts

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um atalho pode acessar arquivos que normalmente são acessíveis ao app Atalhos

Descrição: um problema de permissão foi resolvido por meio de melhorias na validação.

CVE-2025-30465: um pesquisador anônimo

Shortcuts

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um atalho pode acessar arquivos que normalmente são acessíveis ao app Atalhos

Descrição: o problema foi resolvido por meio de restrições de acesso aprimoradas.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.

CVE-2025-24198: Richard Hyunho Im (@richeeta) com routezero.security

Siri

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-24205: YingQi Shi(@Mas0nShi) do DBAppSecurity's WeBin lab e Minghao Lin (@Y1nKoc)

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um conteúdo da web criado com códigos maliciosos pode violar a política de área restrita de conteúdo da web. Esta é uma correção suplementar para um ataque que foi bloqueado no iOS 17.2. (A Apple está ciente de um relatório de que esse problema pode ter sido explorado em um ataque extremamente sofisticado contra indivíduos específicos como alvo em versões do iOS anteriores ao iOS 17.2.)

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias nas verificações para impedir ações não autorizadas.

CVE-2025-24201: Apple

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-30425: pesquisador anônimo

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24216: Paul Bakker da ParagonERP

CVE-2025-24264: Gary Kwong e um pesquisador anônimo

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2025-30427: Rheza (@ginggilBesel)

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24209: Francisco Alonso (@revskills) e um pesquisador anônimo

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-54543: Lukas Bernhard, Gary Kwong e um pesquisador anônimo

CVE-2024-54534: Tashita Software Security

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-54508: Xiangwei Zhang do Tencent Security YUNDING LAB, linjy do HKUS3Lab, chluo do WHUSecLab e um pesquisador anônimo

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54502: Brendon Tiszka do Google Project Zero

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um problema de confusão de tipo pode resultar na corrupção de memória

Descrição: esse problema foi resolvido por meio da melhoria no processamento de floats.

CVE-2025-24213: Equipe de Segurança do Google V8

Outros reconhecimentos

Audio

Gostaríamos de agradecer a Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro pela ajuda.

Security

Gostaríamos de agradecer a Kevin Jones (GitHub) pela ajuda.