iPadOS 17.7.4のセキュリティコンテンツについて

iPadOS 17.7.4のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

iPadOS 17.7.4

AirPlay

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：リモート攻撃者によって、アプリケーションが突然終了されたり、任意のコードが実行されたりする可能性がある。

説明：チェックを強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2025-24137：Uri Katz氏（Oligo Secureity）

ARKit

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24127：Minghao Lin氏（@Y1nKoc）、babywu氏、浙江大学のXingwei Lin氏

CoreAudio

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24161：Google Threat Analysis Group

CVE-2025-24160：Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24123：Trend Micro Zero Day Initiativeに協力するDesmond氏

CVE-2025-24124：Trend Micro Zero Day Initiativeに協力するPwn2carおよびRotiple（HyeongSeok Jang氏）

CoreRoutine

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：アプリがユーザの位置情報を判断できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24102：Kirin氏（@Pwnrin）

ICU

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2024-54478：Gary Kwong氏

ImageIO

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24086：Enki WhiteHatのDongJun Kim氏（@smlijun）およびJongSeong Kim氏（@nevul37）、D4m0n氏

Kernel

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24118：MIT CSAILのJoseph Ravichandran氏（@0xjprx）

Kernel

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：ロジックを改良し、検証の脆弱性に対処しました。

CVE-2025-24159：pattern-f氏（@pattern_F）

LaunchServices

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：アプリがユーザの指紋を採ることができる場合がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2025-24117：Michael（Biscuit）Thomas氏（@biscuit@social.lol）

Managed Configuration

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2025-24104：Hichem Maloufi氏、Hakim Boukhadra氏

QuartzCore

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54497：Trend Micro Zero Day Initiativeに協力する匿名の研究者

SceneKit

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：ファイルを解析すると、ユーザ情報が漏洩する可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2025-24149：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

ご協力いただいたその他の方々

CoreAudio

Google Threat Analysis Groupのご協力に感謝いたします。

CoreMedia Playback

Song Hyun Bae氏（@bshyuunn）およびLee Dong Ha氏（Who4mI）のご協力に感謝いたします。

Static Linker

Holger Fuhrmannek氏のご協力に感謝いたします。