Informationen zum Sicherheitsinhalt von iOS 18.7.5 und iPadOS 18.7.5

In diesem Dokument wird der Sicherheitsinhalt von iOS 18.7.5 und iPadOS 18.7.5 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 18.7.5 und iPadOS 18.7.5

Accessibility

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20645: Loh Boon Keat

Books

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Wiederherstellung einer in böswilliger Absicht erstellten Sicherungsdatei kann zur Änderung geschützter Systemdateien führen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou & Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y & Ricardo Garcia, Dorian Del Valle

CFNetwork

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein lokaler Benutzer kann willkürliche Dateien schreiben.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Logik behoben.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-20611: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreMedia

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20634: George Karchemsky (@gkarchemsky) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-20675: George Karchemsky (@gkarchemsky) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise den Netzwerkdatenverkehr abfangen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Das Problem wurde durch Bereinigen der Protokollierung behoben.

CVE-2026-20663: Zhongcheng Li vom IES Red Team

libexpat

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann möglicherweise zu einem Denial-of-Service führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-59375

libnetcore

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise den Netzwerkdatenverkehr abfangen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Live-Untertitel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20655: Richard Hyunho Im (@richeeta) bei Route Zero Security (routezero.security)

Mail

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Das Deaktivieren von „Entfernte Inhalte in Nachrichten laden“ gilt möglicherweise nicht für alle Mail-Vorschauen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20673: Ein anonymer Forscher

Nachrichten-App

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Kurzbefehl kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Handhabung symbolischer Links behoben.

CVE-2026-20677: Ron Masas von BreakPoint.SH

Model I/O

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-20616: Michael DePlante (@izobashi) von der Zero Day Initiative von Trend Micro

Multi-Touch

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein schädliches HID-Gerät kann möglicherweise einen unerwarteten Prozessabsturz verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43533: Google Threat Analysis Group

CVE-2025-46300: Google Threat Analysis Group

CVE-2025-46301: Google Threat Analysis Group

CVE-2025-46302: Google Threat Analysis Group

CVE-2025-46303: Google Threat Analysis Group

CVE-2025-46304: Google Threat Analysis Group

CVE-2025-46305: Google Threat Analysis Group

Safari

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf den Safari-Verlauf eines Benutzers zugreifen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer kann möglicherweise die vom Benutzer gelöschten Notizen entdecken.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App in einer Sandbox kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.

CVE-2026-20680: Ein anonymer Forscher

StoreKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise feststellen, welche anderen Apps ein Benutzer installiert hat.

Beschreibung: Ein Datenschutzproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Bestimmte Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2026-20606: LeminLimez

Voice Control

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise einen Systemprozess zum Absturz bringen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20605: @cloudlldb von @pixiepointsec

VoiceOver

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20661: Dalibor Milanovic

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20608: HanQing von TSDubhe und Nan Wang (@eternalsakura13)

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20644: HanQing von TSDubhe und Nan Wang (@eternalsakura13)

CVE-2026-20635: EntryHi

Wi-Fi

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20621: Wang Yu von Cyberserval

Zusätzliche Danksagung

ImageIO

Wir möchten uns bei George Karchemsky (@gkarchemsky) von der Trend Micro Zero Day Initiative für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Xinru Chi von Pangu Lab für die Unterstützung bedanken.

libpthread

Wir möchten uns bei Fabiano Anemone für die Unterstützung bedanken.

WebKit

Wir möchten uns bei EntryHi und Stanislav Fort von Aisle Research, Vsevolod Kokorin (Slonser) von Solidlab und Jorian Woltjer für die Unterstützung bedanken.