Om sikkerhedsindholdet i iOS 18.7.5 og iPadOS 18.7.5

I dette dokument beskrives sikkerhedsindholdet i iOS 18.7.5 og iPadOS 18.7.5.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 18.7.5 og iPadOS 18.7.5

Accessibility

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2026-20645: Loh Boon Keat

Books

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou & Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y & Ricardo Garcia, Dorian Del Valle

CFNetwork

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En ekstern bruger kan muligvis skrive vilkårlige arkiver

Beskrivelse: Et problem med stihåndtering er løst via forbedret logik.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2026-20611: anonym, der arbejder med Trend Micro Zero Day Initiative

CoreMedia

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Behandling af et skadeligt arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20634: George Karchemsky (@gkarchemsky), der arbejder med Trend Micro Zero Day Initiative

ImageIO

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2026-20675: George Karchemsky (@gkarchemsky), der arbejder med Trend Micro Zero Day Initiative

Kernel

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange netværkstrafik

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Problemet er løst ved at rense logføring.

CVE-2026-20663: Zhongcheng Li fra IES Red Team

libexpat

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Behandling af et skadeligt arkiv kan føre til DoS-angreb (Denial of Service)

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-59375

libnetcore

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange netværkstrafik

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Live Captions

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-20655: Richard Hyunho Im (@richeeta) fra Route Zero Security (routezero.security)

Mail

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Indstillingen blev ikke anvendt til alle eksempelvisninger af e-mails, hvis "Indlæs eksternt indhold i beskeder" blev slået fra

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2026-20673: en anonym programmør

Messages

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En genvej kan muligvis omgå sandbox-begrænsninger

Beskrivelse: En konkurrencetilstand er løst via forbedret håndtering af symbolske links.

CVE-2026-20677: Ron Masas fra BreakPoint.SH

Model I/O

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Behandling af et skadeligt USD-arkiv kan føre til pludselig applukning

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2026-20616: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Multi-Touch

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En skadelig HID-enhed kan muligvis forårsage uventet nedbrud i processer

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2025-43533: Google Threat Analysis Group

CVE-2025-46300: Google Threat Analysis Group

CVE-2025-46301: Google Threat Analysis Group

CVE-2025-46302: Google Threat Analysis Group

CVE-2025-46303: Google Threat Analysis Group

CVE-2025-46304: Google Threat Analysis Group

CVE-2025-46305: Google Threat Analysis Group

Safari

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan muligvis få adgang til en brugers historik i Safari

Beskrivelse: Et logikproblem er løst via forbedret validering.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En hacker kan muligvis registrere en brugers slettede noter

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En sandbox-app kan muligvis tilgå følsomme brugerdata

Beskrivelse: Problemet blev løst via yderligere begrænsninger for observerbarhed af apptilstande.

CVE-2026-20680: en anonym programmør

StoreKit

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan muligvis identificere, hvilke andre apps en bruger har installeret

Beskrivelse: Et anonymitetsproblem er løst via forbedret kontrol.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan muligvis omgå visse indstillinger for anonymitet

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2026-20606: LeminLimez

Voice Control

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan muligvis forårsage, at en systemproces går ned

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20605: @cloudlldb fra @pixiepointsec

VoiceOver

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-20661: Dalibor Milanovic

WebKit

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2026-20608: HanQing fra TSDubhe og Nan Wang (@eternalsakura13)

WebKit

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En hacker kan muligvis fremkalde et DoS-angreb

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20644: HanQing fra TSDubhe og Nan Wang (@eternalsakura13)

CVE-2026-20635: EntryHi

Wi-Fi

Fås til: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generation

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20621: Wang Yu fra Cyberserval

Yderligere anerkendelser

ImageIO

Vi vil gerne takke George Karchemsky (@gkarchemsky), der arbejder med Trend Micro Zero Day Initiative, for hjælpen.

Kernel

Vi vil gerne takke Xinru Chi fra Pangu Lab for hjælpen.

libpthread

Vi vil gerne takke Fabiano Anemone for hjælpen.

WebKit

Vi vil gerne takke EntryHi, Stanislav Fort fra Aisle Research, Vsevolod Kokorin (Slonser) fra Solidlab og Jorian Woltjer for hjælpen.