AppleがiPad向けiPadOS 17.7.3をリリース!

Appleは11日(現地時間)、iPad向けプラットフォーム「iPadOS」において前バージョン「iPadOS 17」の最新版「iPadOS 17.7.3(21H312)」を提供開始したとお知らせしています。

対象機種は最新バージョン「iPadOS 18」に対応していないiPadOS 17の対応機種で、具体的にはiPad(第6世代)や12.9インチiPad Pro(第2世代)、10.5インチiPad Proの3機種となります。なお、これまでは「iOS 18」やiPadOS 18の対象機種はiOS 18やiPadOS 18またはiOS 17やiPadOS 17を選んで更新できていましたが、今回からiOS 18やiPadOS 18の対象機種はiOS 18やiPadOS 18のみに更新するようになっています。

変更点は重要なセキュリティーアップデートが含まれており、CVEに登録されている脆弱性としてはFontParserに関する「CVE-2024-54486」やImageIOに関する「CVE-2024-54500」、Kernelに関する「CVE-2024-54494」および「CVE-2024-54510」、「CVE-2024-44245」、libarchiveに関する「CVE-2024-44201」、WebKitに関する「CVE-2024-54479」などの14個の脆弱性が修正されているということです。

なお、これらの脆弱性のうちのいくつかは同社では積極的に悪用されている可能性があるという報告を認識しているとしています。その他、すでに紹介しているようにiOSおよびiPadOSの最新バージョン「iOS 18.2」および「iPadOS 18.2」がリリースされているほか、パソコン「Mac」向け「macOS Sequoia 15.2」、スマートウォッチ「Apple Watch」向け「watchOS 11.2」、セットトップボックス「Apple TV」向け「tv 18.2」、スマートヘッドセット「Apple Vision」向け「visionOS 2.2」なども配信開始しています。

02

Appleでは2021年に提供開始したiOS 15およびiPadOS 15から一定期間は次の最新バージョンに更新せずに既存のバージョンに留まる機能を提供しており、今年も最新のiOS 18やiPadOS 18の正式版が配信開始されましたが、引き続いてしばらくiOS 17やiPadOS 17で使う場合を対象にセキュリティー修正のみを行ったソフトウェア更新を提供しており、今回は前回のiOS 17.7.2およびiPadOS 17.7.2に続いてiPadOS 17.7.3が提供開始されました。

更新は従来通り各製品本体のみでOTA(On-The-Air)によりダウンロードで行え、方法としては、「設定」→「一般」→「ソフトウェア・アップデート」から行え、単体でアップデートする場合のダウンロードサイズは手持ちのiPad(第6世代)でiPadOS 17.7.2からだと149.7MBとなっています。またiTunesをインストールしたWindowsおよびMacとUSB-Lightningケーブルで接続しても実施できます。なお、Appleが案内しているアップデートの内容およびセキュリティーコンテンツの修正は以下の通り。

iPadOS 17.7.3
このアップデートには重要なセキュリティ修正が含まれ、すべてのユーザに推奨されます。

Appleソフトウェアアップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください: https://support.apple.com/100100

iPadOS 17.7.3
Released December 11, 2024

- FontParser
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: Processing a maliciously crafted font may result in the disclosure of process memory
Description: The issue was addressed with improved checks.
CVE-2024-54486: Hossein Lotfi (@hosselot) of Trend Micro Zero Day Initiative

- ImageIO
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: Processing a maliciously crafted image may result in disclosure of process memory
Description: The issue was addressed with improved checks.
CVE-2024-54500: Junsung Lee working with Trend Micro Zero Day Initiative

- Kernel
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: An attacker may be able to create a read-only memory mapping that can be written to
Description: A race condition was addressed with additional validation.
CVE-2024-54494: sohybbyk

- Kernel
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: An app may be able to leak sensitive kernel state
Description: A race condition was addressed with improved locking.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) of MIT CSAIL

- Kernel
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: An app may be able to cause unexpected system termination or corrupt kernel memory
Description: The issue was addressed with improved memory handling.
CVE-2024-44245: an anonymous researcher

- libarchive
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: Processing a malicious crafted file may lead to a denial-of-service
Description: The issue was addressed with improved memory handling.
CVE-2024-44201: Ben Roeder

- libexpat
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: A remote attacker may cause an unexpected app termination or arbitrary code execution
Description: This is a vulnerability in open source code and Apple Software is among the affected projects. The CVE-ID was assigned by a third party. Learn more about the issue and CVE-ID at cve.org.
CVE-2024-45490

- libxpc
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: An app may be able to gain elevated privileges
Description: A logic issue was addressed with improved checks.
CVE-2024-44225: 风沐云烟(@binary_fmyy)

- Passwords
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: An attacker in a privileged network position may be able to alter network traffic
Description: This issue was addressed by using HTTPS when sending information over the network.
CVE-2024-54492: Talal Haj Bakry and Tommy Mysk of Mysk Inc. (@mysk_co)

- Safari
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: On a device with Private Relay enabled, adding a website to the Safari Reading List may reveal the originating IP address to the website
Description: The issue was addressed with improved routing of Safari-originated requests.
CVE-2024-44246: Jacob Braun

- SceneKit
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: Processing a maliciously crafted file may lead to a denial of service
Description: The issue was addressed with improved checks.
CVE-2024-54501: Michael DePlante (@izobashi) of Trend Micro's Zero Day Initiative

- VoiceOver
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: An attacker with physical access to an iPadOS device may be able to view notification content from the lock screen
Description: The issue was addressed by adding additional logic.
CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) from C-DAC Thiruvananthapuram India

- WebKit
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: Processing maliciously crafted web content may lead to an unexpected process crash
Description: The issue was addressed with improved checks.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee

- WebKit
Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, and iPad 6th generation
Impact: Processing maliciously crafted web content may lead to memory corruption
Description: A type confusion issue was addressed with improved memory handling.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong

Additional recognition
- Proximity
We would like to acknowledge Junming C. (@Chapoly1305) and Prof. Qiang Zeng of George Mason University for their assistance.














記事執筆:memn0ck


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
iPadOS 17 関連記事一覧 - S-MAX
iPadOS 17 のアップデートについて - Apple サポート (日本)
iPadOS 17.7.3 のセキュリティコンテンツについて - Apple サポート (日本)
Apple セキュリティアップデート - Apple サポート