Obsah zabezpečenia v systéme iPadOS 17.7.6

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iPadOS 17.7.6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iPadOS 17.7.6

Accounts

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Citlivé údaje z kľúčenky môžu byť prístupné zo zálohy iOS

Popis: Tento problém bol vyriešený vylepšením obmedzenia prístupu k dátam.

CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka a anonymný výskumník

Audio

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24243: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Audio

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24244: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

BiometricKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-24237: Yutong Xiu

Calendar

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Prehrávanie audiosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-24230: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS starších ako iOS 17.2.

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-24085

CoreMedia

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24190: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24211: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

curl

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Riešil sa problém s overovaním vstupov

Popis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a identifikátore CVE-ID nájdete na cve.org.

CVE-2024-9681

Foundation

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vyčistením protokolovania.

CVE-2025-30447: LFY@secsys z Fudan University

ImageIO

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Rozbor obrázka môže viesť k odhaleniu informácií o používateľovi

Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.

CVE-2025-24210: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka so škodlivým kódom sa môže pokúšať o zadanie prístupového kódu na uzamknutom zariadení, a tak po 4 zlyhaniach spôsobiť narastajúce časové oneskorenie.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

Kernel

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24203: Ian Beer z tímu Google Project Zero

libxml2

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a identifikátore CVE-ID nájdete na cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-24178: anonymný výskumník

NetworkExtension

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-30426: Jimmy

Photos

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez overenia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-30428: Jax Reissner

Power Services

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Popis: Tento problém bol vyriešený vylepšením používateľského rozhrania.

CVE-2025-24113: @RenwaX23

Security

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai zo skupiny Alibaba Group, Luyi Xing z Indiana University Bloomington

Shortcuts

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Skratka môže mať prístup k súborom, ktoré sú pre apku Skratky bežne nedostupné.

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.

CVE-2025-30465: anonymný výskumník

Shortcuts

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Skratka môže mať prístup k súborom, ktoré sú pre apku Skratky bežne nedostupné.

Popis: Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2025-30433: Andrew James Gonzalez

Siri

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa

Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.

CVE-2025-24198: Richard Hyunho Im (@richeeta) z tímu routezero.security

Siri

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-24205: YingQi Shi (@Mas0nShi) z laboratória WeBin tímu DBAppSecurity a Minghao Lin (@Y1nKoc)

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Webovému obsahu so škodlivým kódom sa môže podariť dostať sa zo sandboxu pre webový obsah. Ide o doplnkovú opravu k útoku zablokovanému v systéme iOS 17.2. (Spoločnosť Apple má informácie o tom, že tento problém mohol byť zneužitý pri mimoriadne sofistikovanom útoku na konkrétne cieľové osoby vo verziách systému iOS starších ako iOS 17.2.)

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2025-24201: Apple

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Webová stránka so škodlivým kódom môže byť schopná sledovať používateľov v režime anonymného prezerania v Safari

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-30425: anonymný výskumník

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24216: Paul Bakker z tímu ParagonERP

CVE-2025-24264: Gary Kwong a anonymný výskumník

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24209: Francisco Alonso (@revskills) a anonymný výskumník

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54543: Lukas Bernhard, Gary Kwong a anonymný výskumník

CVE-2024-54534: Tashita Software Security

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54508: Xiangwei Zhang z tímu Tencent Security YUNDING LAB, linjy z tímu HKUS3Lab, chluo z tímu WHUSecLab a anonymný výskumník

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54502: Brendon Tiszka z tímu Google Project Zero

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Problém so zámenou typu môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením spracovania floatov.

CVE-2025-24213: Google V8 Security Team

Ďalšie poďakovanie

Audio

Poďakovanie za pomoc si zaslúži Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro.

Security

Poďakovanie sa pomoc si zaslúži Kevin Jones (GitHub).