APPLE-SA-07-29-2025-2 iPadOS 17.7.9
iPadOS 17.7.9 解决了以下问题。安全内容的信息也可在 https://support.apple.com/124148 查看。
Apple 在 https://support.apple.com/100100 维护了一个安全发布页面,列出了最近带有安全公告的软件更新。
辅助功能 (Accessibility)
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 麦克风或摄像头访问的隐私指示器可能无法正确显示
描述: 通过添加额外逻辑解决了该问题。
CVE-2025-43217: Himanshu Bharti (@Xpl0itme)
CFNetwork
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 攻击者可能导致意外应用终止
描述: 通过移除易受攻击的代码解决了一个释放后使用问题。
CVE-2025-43222: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs
CFNetwork
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 非特权用户可能能够修改受限网络设置
描述: 通过改进输入验证解决了一个拒绝服务问题。
CVE-2025-43223: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs
copyfile
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 应用可能能够访问受保护的用户数据
描述: 通过改进符号链接验证解决了该问题。
CVE-2025-43220: Mickey Jin (@patch1t)
CoreMedia
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 处理恶意制作的媒体文件可能导致意外应用终止或进程内存损坏
描述: 通过改进边界检查解决了一个越界访问问题。
CVE-2025-43210: Hossein Lotfi (@hosselot) of Trend Micro Zero Day Initiative
CoreMedia Playback
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 应用可能能够访问用户敏感数据
描述: 通过额外的权限检查解决了该问题。
CVE-2025-43230: Chi Yuan Chang of ZUSO ART and taikosoup
Find My
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 应用可能能够对用户进行指纹识别
描述: 通过额外限制解决了一个权限问题。
CVE-2025-31279: Dawuge of Shuffle Team
ICU
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 处理恶意制作的网页内容可能导致Safari意外崩溃
描述: 通过改进边界检查解决了一个越界访问问题。
CVE-2025-43209: Gary Kwong working with Trend Micro Zero Day Initiative
ImageIO
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 处理恶意制作的图像可能导致进程内存泄露
描述: 通过改进输入验证解决了一个越界读取问题。
CVE-2025-43226
Kernel
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 远程攻击者可能导致意外系统终止
描述: 通过改进检查解决了该问题。
CVE-2025-24224: Tony Iskow (@Tybbow)
libxslt
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 处理恶意制作的网页内容可能导致内存损坏
描述: 这是一个开源代码中的漏洞,Apple软件是受影响的项目之一。CVE-ID由第三方分配。在cve.org了解更多关于该问题和CVE-ID的信息。
CVE-2025-7424: Ivan Fratric of Google Project Zero
Mail Drafts
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 即使“加载远程图像”设置关闭,远程内容仍可能被加载
描述: 通过改进状态管理解决了该问题。
CVE-2025-31276: Himanshu Bharti (@Xpl0itme)
Notes
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 应用可能能够访问敏感用户数据
描述: 通过改进数据脱敏解决了一个日志记录问题。
CVE-2025-43225: Kirin (@Pwnrin)
Sandbox Profiles
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 应用可能能够读取持久设备标识符
描述: 通过额外限制解决了一个权限问题。
CVE-2025-24220: Wojciech Regula of SecuRing (wojciechregula.blog)
WebKit
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 处理恶意制作的网页内容可能导致内存损坏
描述: 通过改进内存处理解决了该问题。
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu, and Xiaojie Wei
WebKit
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 处理网页内容可能导致拒绝服务
描述: 通过改进内存处理解决了该问题。
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu, and Xiaojie Wei
WebKit
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 处理恶意制作的网页内容可能导致Safari意外崩溃
描述: 通过改进内存管理解决了一个释放后使用问题。
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
适用设备: iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代
影响: 处理恶意制作的网页内容可能导致Safari意外崩溃
描述: 这是一个开源代码中的漏洞,Apple软件是受影响的项目之一。CVE-ID由第三方分配。在cve.org了解更多关于该问题和CVE-ID的信息。
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne and Vlad Stolyarov of Google’s Threat Analysis Group
额外致谢
CoreAudio
我们感谢 @zlluny, Noah Weinberg 的帮助。
Device Management
我们感谢 Al Karak 的帮助。
Game Center
我们感谢 DBAppSecurity WeBin 实验室的 YingQi Shi (@Mas0nShi) 的帮助。
libxml2
我们感谢 Google Project Zero 的 Sergei Glazunov 的帮助。
libxslt
我们感谢 Google Project Zero 的 Ivan Fratric 的帮助。
Shortcuts
我们感谢 ZUSO ART 和 taikosoup 的 Chi Yuan Chang,以及 Dennis Kniep 的帮助。
此更新可通过 iTunes 和设备上的软件更新获取,不会出现在计算机的软件更新应用程序或 Apple 下载站点中。确保您有互联网连接,并已从 https://www.apple.com/itunes/ 安装了最新版本的 iTunes。
iTunes 和设备上的软件更新将按其每周计划自动检查 Apple 的更新服务器。检测到更新后,会下载并在 iOS 设备连接时向用户提供安装选项。我们建议尽可能立即应用更新。选择“不安装”将在下次连接 iOS 设备时再次提供该选项。
自动更新过程可能需要长达一周的时间,具体取决于 iTunes 或设备检查更新的日期。您可以通过 iTunes 中的“检查更新”按钮或设备上的软件更新手动获取更新。
要检查 iPhone、iPod touch 或 iPad 是否已更新:
- 导航到“设置”
- 选择“通用”
- 选择“关于”。应用此更新后的版本将为“iPadOS 17.7.9”。
所有信息也发布在 Apple 安全发布网站:https://support.apple.com/100100。
此消息使用 Apple 的产品安全 PGP 密钥签名,详细信息可在以下网址查看:https://www.apple.com/support/security/pgp/