IT之家 5 月 20 日消息,苹果上周发布的 iPadOS 17.7.7 由于多种 Bug 而被撤下,现在又重新推出了 iPadOS 17.7.8。
IT之家注:iPadOS 17.7.8 适用于 2017 款 iPad Pro(10.5 英寸和 12.9 英寸)以及 2018 款 iPad(第六代)。
苹果建议无法升级 iOS 18 的用户尽快安装该系统,因为它包含大量针对各种安全漏洞的修复程序,例如系统意外终止、AirDrop 中的 App 能够读取任意文件元数据等问题。
AirDrop
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够读取任意文件元数据
描述:已通过实施额外的限制解决权限问题。
CVE-2025-24097:Ron Masas,来自 BREAKPOINT.SH
AppleJPEG
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理恶意制作的媒体文件可能会导致 App 意外终止或损坏进程内存
描述:已通过改进输入清理解决这个问题。
CVE-2025-31251:Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)
Audio
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够导致系统意外终止
描述:已通过改进内存管理解决双重释放问题。
CVE-2025-31235:Dillon Franke 与 Google Project Zero 合作发现
CoreAudio
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:解析文件可能会导致 App 意外终止
描述:已通过改进检查解决这个问题。
CVE-2025-31208:Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)
CoreGraphics
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理恶意制作的文件可能会导致服务遭拒或泄露内存内容
描述:已通过改进输入验证解决越界读取问题。
CVE-2025-31196:wac 与 Trend Micro Zero Day Initiative 合作发现
CoreGraphics
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:解析文件可能会导致用户信息泄露
描述:已通过改进边界检查解决越界读取问题。
CVE-2025-31209:Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)
CoreMedia
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:解析文件可能会导致 App 意外终止
描述:已通过改进内存管理解决“释放后使用”问题。
CVE-2025-31239:Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)
CoreMedia
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理恶意制作的视频文件可能会导致 App 意外终止或损坏进程内存
描述:已通过改进输入清理解决这个问题。
CVE-2025-31233:Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)
Display
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够导致系统意外终止
描述:已通过改进状态管理解决内存损坏问题。
CVE-2025-24111:Cyberserval 的 Wang Yu
FaceTime
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理网页内容可能会导致服务遭拒
描述:已通过改进 UI 解决这个问题。
CVE-2025-31210:Andrew James Gonzalez
iCloud document Sharing
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:攻击者或许能够在身份未经认证的情况下打开 iCloud 文件夹的共享
描述:已通过实施额外的授权检查解决这个问题。
CVE-2025-30448:Lyutoon 和 YenKoc、Atredis Partners 的 Dayton Pidhirney
ImageIO
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理恶意制作的图像可能会导致服务遭拒
描述:已通过改进检查解决逻辑问题。
CVE-2025-31226:Saagar Jha
Kernel
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够泄露敏感内核状态
描述:已通过移除易受攻击的代码解决信息泄露问题。
CVE-2025-24144:Mateusz Krzywicki (@krzywix)
Kernel
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:攻击者或许能够导致系统意外终止或损坏内核内存
描述:已通过改进内存处理解决这个问题。
CVE-2025-31219:Trend Micro Zero Day Initiative 的 Michael DePlante (@izobashi) 和 Lucas Leong (@_wmliang_)
Kernel
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:远程攻击者可能会导致 App 意外终止
描述:已通过改进内存管理解决双重释放问题。
CVE-2025-31241:Christian Kohlschütter
libexpat
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:libexpat 中存在多个问题,包括 App 意外终止或任意代码执行
描述:这是开源代码中的一个漏洞,Apple 软件也在受影响的项目之列。这个 CVE-ID 由第三方分配。如需详细了解这个问题和 CVE-ID,请访问 cve.org。
CVE-2024-8176
Mail Addressing
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理电子邮件可能会导致用户界面欺诈问题
描述:已通过改进输入验证解决注入问题。
CVE-2025-24225:Richard Hyunho Im (@richeeta)
Notes
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:能够实际操作设备的攻击者或许能够从锁定屏幕访问备忘录
描述:已通过改进认证解决这个问题。
CVE-2025-31228:Andr.Ess
Parental Controls
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够在未经过授权检查的情况下检索 Safari 浏览器书签
描述:已通过实施额外的授权检查解决这个问题。
CVE-2025-24259:Noah Gregory (wts.dev)
Pro Res
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够导致系统意外终止
描述:已通过改进检查解决这个问题。
CVE-2025-31245:wac
Sandbox Profiles
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够读取永久性设备识别码
描述:已通过实施额外的限制解决权限问题。
CVE-2025-24220:SecuRing 的 Wojciech Regula (wojciechregula.blog)
Security
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:远程攻击者或许能够泄漏内存
描述:已通过改进输入验证解决整数溢出问题。
CVE-2025-31221:Dave G.
Security
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够访问用户 iCloud 钥匙串中关联的用户名和网站
描述:已通过改进数据遮盖策略解决记录问题。
CVE-2025-31213:Kirin (@Pwnrin) 和 7feilee
StoreKit
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:App 或许能够访问敏感的用户数据
描述:已通过改进日志条目的隐私数据遮盖策略解决隐私问题。
CVE-2025-31242:Twin Cities App Dev LLC 的 Eric Dorphy
Weather
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:恶意 App 或许能够读取敏感的位置信息
描述:已通过移除敏感数据解决隐私问题。
CVE-2025-31220:Adam M.
WebKit
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:类型混淆问题可能会导致内存损坏
描述:已通过改进对浮点数的处理解决这个问题。
WebKit Bugzilla:286694
CVE-2025-24213:Google V8 Security Team
WebKit
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理恶意制作的网页内容可能会导致 Safari 浏览器意外崩溃
描述:已通过改进输入验证解决这个问题。
WebKit Bugzilla:289677
CVE-2025-31217:Ignacio Sanmillan (@ulexec)
WebKit
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理恶意制作的网页内容可能会导致进程意外崩溃
描述:已通过改进检查解决这个问题。
WebKit Bugzilla:288814
CVE-2025-31215:Jiming Wang 和 Jikai Ren
WebKit
适用于:12.9 英寸 iPad Pro(第 2 代)、10.5 英寸 iPad Pro 和 iPad(第 6 代)
影响:处理恶意制作的网页内容可能会导致 Safari 浏览器意外崩溃
描述:已通过改进状态处理解决类型混淆问题。
WebKit Bugzilla:290834
CVE-2025-31206:一位匿名研究人员
