Informace o bezpečnostním obsahu iOS 18.7.7 a iPadOS 18.7.7

Informace o bezpečnostním obsahu iOS 18.7.7 a iPadOS 18.7.7.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 18.7.7 a iPadOS 18.7.7

802.1X

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit zachycovat síťový provoz.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)

AppleKeyStore

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-20637: Johnny Franks (zeroxjf), anonymní výzkumník

Audio

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-28879: Justin Cohen ze společnosti Google

Clipboard

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Zpracování audio streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2026-20690: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreUtils

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Uživateli s vysokými oprávněními v síti se může podařit způsobit odmítnutí služby.

Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)

Crash Reporter

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.

CVE-2026-28878: Zhongcheng Li z týmu IES Red Team

curl

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: V curl existoval problém, který může vést k neúmyslnému odesílání citlivých informací přes nesprávné připojení.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-14524

DeviceLink

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.

CVE-2026-28876: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs

Focus

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2026-28880: Zhongcheng Li z týmu IES Red Team

ImageIO

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-64505

iTunes Store

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Uživateli s fyzickým přístupem k iOS zařízení se může podařit obejít zámek aktivace.

Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.

CVE-2025-43534: iG0x72 a JJ z týmu XiguaSec, Lehan Dilusha Jayasinghe

Kernel

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-28868: 이동하 (Lee Dong Ha z týmu BoB 0xB6)

Kernel

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém byl vyřešen vylepšením ověření.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém byl vyřešen vylepšením ověření.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Místní útočník může získat přístup k položkám v uživatelově klíčence.

Popis: Problém byl vyřešen vylepšením kontroly oprávnění.

CVE-2026-28864: Alex Radocea

UIFoundation

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28852: Caspian Tarafdar

Vision

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Parsování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-20657: Andrew Becker

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2026-20665: webb

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Zpracování škodlivého webového obsahu může vést k obejití zásady stejného původu.

Popis: Problém se získáváním dat napříč původy v rozhraní API navigace byl vyřešen vylepšením ověřování vstupů.

CVE-2026-20643: Thomas Espach

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Vzdálenému útočníkovi se může podařit zobrazit uniklé dotazy DNS, pokud je zapnutý Soukromý přenos.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2025-43376: Mike Cardwell z grepular.com, Bob Lord

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Škodlivému webu se může podařit získat přístup k obslužným rutinám zpráv skriptu zamýšleným pro jiné původy.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2026-28861: Hongze Wu a Shuaike Dong z týmu Group Infrastructure Security Team

WebKit

K dispozici pro: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generace

Dopad: Návštěva škodlivého webu může vést ke skriptovému útoku napříč weby.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2026-28871: @hamayanhamayan

Další poděkování

Safari

Poděkování za pomoc zaslouží @RenwaX23.