Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen
iPadOS 17.7.6
Veröffentlicht am 31. März 2025
Accounts
Verfügbar für: iPad Pro 12,9 Zoll der 2. Generation, iPad Pro 10,5 Zoll und iPad der 6. Generation
Auswirkungen: Sensible Schlüsselbunddaten können über ein iOS-Backup zugänglich sein
Beschreibung: Dieses Problem wurde durch eine verbesserte Einschränkung des Datenzugriffs behoben.
CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka, und ein anonymer Forscher
Audio
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen
Beschreibung: Das Problem wurde durch verbesserte Speicherbehandlung behoben.
CVE-2025-24243: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative
Audio
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Schriftart kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2025-24244: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative
BiometricKit
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Eine App kann möglicherweise einen unerwarteten Systemabbruch verursachen
Beschreibung: Ein Pufferüberlauf wurde mit einer verbesserten Überprüfung der Grenzen behoben.
CVE-2025-24237: Yutong Xiu
Kalender
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Eine App kann möglicherweise aus ihrer Sandbox ausbrechen
Beschreibung: Ein Problem bei der Pfadbehandlung wurde mit verbesserter Validierung behoben.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Kalender
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6. Generation
Auswirkungen: Eine App kann möglicherweise aus ihrer Sandbox ausbrechen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CloudKit
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Eine bösartige App kann möglicherweise auf private Informationen zugreifen
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24215: Kirin (@Pwnrin)
CoreAudio
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Das Abspielen einer bösartigen Audiodatei kann zu einem unerwarteten Beenden der App führen
Beschreibung: Ein Out-of-Bounds-Read-Problem wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2025-24230: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative
CoreMedia
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Ein bösartiges Programm kann möglicherweise die Berechtigungen erhöhen. Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv für iOS-Versionen vor iOS 17.2 ausgenutzt werden kann.
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24085
CoreMedia
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einer unerwarteten Beendigung der App führen oder den Prozessspeicher beschädigen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2025-24190: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative
CoreMedia
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einer unerwarteten Beendigung der App führen oder den Prozessspeicher beschädigen
Beschreibung: Dieses Problem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2025-24211: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative
**(@hosselot)
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Ein Problem bei der Eingabevalidierung wurde behoben
Beschreibung: Es handelt sich um eine Schwachstelle in Open-Source-Code und Apple Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer dritten Partei vergeben. Erfahren Sie mehr über das Problem und die CVE-ID unter cve.org.
CVE-2024-9681
Grundlage
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Eine App kann möglicherweise auf sensible Benutzerdaten zugreifen
Beschreibung: Das Problem wurde behoben, indem die Protokollierung bereinigt wurde.
CVE-2025-30447: LFY@secsys von der Fudan-Universität
ImageIO
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Das Parsen eines Bildes kann zur Offenlegung von Benutzerinformationen führen
Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerbehandlung behoben.
CVE-2025-24210: Anonymous arbeitet mit der Trend Micro Zero Day Initiative zusammen
Kernel
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Eine bösartige App kann möglicherweise versuchen, Passcode-Eingaben auf einem gesperrten Gerät vorzunehmen und dadurch eskalierende Zeitverzögerungen nach 4 Fehlversuchen verursachen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol
Kernel
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6. Generation
Auswirkungen: Eine App kann möglicherweise geschützte Teile des Dateisystems verändern
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24203: Ian Beer von Google Project Zero
libxml2
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Das Parsen einer Datei kann zu einem unerwarteten Beenden der App führen
Beschreibung: Es handelt sich um eine Schwachstelle in Open-Source-Code und Apple Software ist eines der betroffenen Projekte. Die CVE-ID wurde von einer dritten Partei vergeben. Erfahren Sie mehr über das Problem und die CVE-ID unter cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Eine App kann möglicherweise aus ihrer Sandbox ausbrechen
Beschreibung: Dieses Problem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2025-24178: ein anonymer Forscher
NetworkExtension
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Eine App könnte in der Lage sein, die installierten Apps eines Benutzers aufzuzählen
Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.
CVE-2025-30426: Jimmy
Fotos
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Fotos im Album "Versteckte Fotos" können ohne Authentifizierung angezeigt werden
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2025-30428: Jax Reissner
Energiedienste
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Eine App kann möglicherweise aus ihrer Sandbox ausbrechen
Beschreibung: Dieses Problem wurde mit zusätzlichen Berechtigungsprüfungen behoben.
CVE-2025-24173: Mickey Jin (@patch1t)
Safari
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Der Besuch einer bösartigen Website kann zum Spoofing der Benutzeroberfläche führen
Beschreibung: Das Problem wurde mit einer verbesserten Benutzeroberfläche behoben.
CVE-2025-24113: @RenwaX23
Sicherheit
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Ein entfernter Benutzer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Logik behoben.
CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai von der Alibaba Group, Luyi Xing von der Indiana University Bloomington
Shortcuts
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Eine Verknüpfung kann auf Dateien zugreifen, auf die die Shortcuts-App normalerweise nicht zugreifen kann.
Beschreibung: Ein Berechtigungsproblem wurde mit verbesserter Validierung behoben.
CVE-2025-30465: ein anonymer Forscher
Shortcuts
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Eine Verknüpfung kann möglicherweise auf Dateien zugreifen, die normalerweise für die Shortcuts-App nicht zugänglich sind.
Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2025-30433: Andrew James Gonzalez
Siri
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Ein Angreifer mit physischem Zugriff kann möglicherweise Siri verwenden, um auf sensible Benutzerdaten zuzugreifen
Beschreibung: Dieses Problem wurde behoben, indem die auf einem gesperrten Gerät angebotenen Optionen eingeschränkt wurden.
CVE-2025-24198: Richard Hyunho Im (@richeeta) mit routezero.security
Siri
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Eine App kann möglicherweise auf benutzersensible Daten zugreifen
Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2025-24205: YingQi Shi(@Mas0nShi) vom WeBin-Labor von DBAppSecurity und Minghao Lin (@Y1nKoc)
WebKit
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6. Generation
Auswirkungen: Eine bösartige Website kann möglicherweise Benutzer im privaten Safari-Browsing-Modus verfolgen
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 286580
CVE-2025-30425: ein anonymer Forscher
WebKit
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Absturz von Safari führen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker von ParagonERP
WebKit-Bugzilla: 285892
CVE-2025-24264: Gary Kwong, und ein anonymer Forscher
WebKit
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Absturz von Safari führen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabsturz führen
Beschreibung: Ein Pufferüberlauf-Problem wurde durch verbesserte Speicherbehandlung behoben.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills), und ein anonymer Forscher
WebKit
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einer Beschädigung des Speichers führen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong, und ein anonymer Forscher
WebKit-Bugzilla: 277967
CVE-2024-54534: Tashita Software-Sicherheit
WebKit
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabsturz führen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
WebKit Bugzilla: 282180
CVE-2024-54508: Xiangwei Zhang vom Tencent Security YUNDING LAB, linjy vom HKUS3Lab und chluo vom WHUSecLab, sowie ein anonymer Forscher
WebKit
Verfügbar für: iPad Pro 12,9-Zoll, 2. Generation, iPad Pro 10,5-Zoll und iPad 6.
Auswirkungen: Die Verarbeitung bösartig gestalteter Webinhalte kann zu einem unerwarteten Prozessabsturz führen
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka von Google Project Zero
WebKit
Verfügbar für: iPad Pro 12,9-Zoll der 2. Generation, iPad Pro 10,5-Zoll und iPad der 6.
Auswirkungen: Ein Typverwechslungsproblem könnte zu einer Speicherbeschädigung führen
Beschreibung: Dieses Problem wurde durch eine verbesserte Handhabung von Floats behoben.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Sicherheitsteam
Zusätzliche Erkennung
Audio
Wir möchten uns bei Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative für seine Unterstützung bedanken.