Informationen zum Sicherheitsinhalt von iOS 18.7.9 und iPadOS 18.7.9

In diesem Dokument wird der Sicherheitsinhalt von iOS 18.7.9 und iPadOS 18.7.9 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 18.7.9 und iPadOS 18.7.9

Accounts

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-28877: Rosyna Keller von Totally Not Malicious Software

APFS

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28959: Dave G.

App Intents

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine bösartige App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) für Reverse Society

Audio

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung eines Audiostroms in einer in böser Absicht erstellten Mediendatei kann den Prozess beenden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-39869: David Ige von Beryllium Security

Calendar

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Ein Problem mit der Ressourcenausschöpfung wurde durch eine bessere Eingabeüberprüfung behoben.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28894: ein anonymer Forscher

CoreServices

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg von Nosebeard Labs

FileProvider

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2026-43659: Alex Radocea

GeoServices

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Datenleck wurde durch eine zusätzliche Validierung behoben.

CVE-2026-28870: XiguaSec

ImageIO

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkungen: Ein Angreifer kann möglicherweise einen unerwarteten App-Abbruch verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise das Layout des Kernelspeichers ermitteln.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein bösartig gestaltetes Disk-Image kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Eine Umgehung der Datei-Quarantäne wurde durch zusätzliche Prüfungen behoben.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong und Pan Zhenpeng (@Peterpan0927) von STAR Labs SG Pte. Ltd., Aswin Kumar Gokulakannan

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28952: Calif.io zu Zusammenarbeit mit Claude und Anthropic Research

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-28951: Csaba Fitzl (@theevilbit) von Iru

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28972: Billy Jheng Bing Jhong und Pan Zhenpeng (@Peterpan0927) von STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2026-28986: Tristan Madani (@TristanInSec) von Talence Security, Ryan Hileman via Xint Code (xint.io), Chris Betz

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28983: Ruslan Dautov

libxpc

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) von der Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Durch Beantworten einer E-Mail werden eventuell entfernte Bilder im Blockierungsmodus in Mail angezeigt.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-43653: Atul R V

mDNSResponder

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein entfernter Angreifer kann möglicherweise einen unerwarteten Systemabbruch oder einen Fehler beim Kernelspeicher verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann den Prozessspeicher beschädigen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28940: Michael DePlante (@izobashi) von der TrendAI Zero Day Initiative

Model I/O

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28941: Michael DePlante (@izobashi) von der TrendAI Zero Day Initiative

Networking

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer ist möglicherweise imstande, Benutzer über ihre IP-Adresse zu verfolgen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise die Protokollierung im App-Datenschutzbericht umgehen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2026-28873: Guy Dor

Quick Look

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Analyse einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-43656: Peter Malone

SceneKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten App-Abbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28846: Peter Malone

Shortcuts

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde behoben, indem eine zusätzliche Eingabeaufforderung für die Benutzerzustimmung hinzugefügt wurde.

CVE-2026-28993: Doron Assness

Siri

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise Benutzerrechte ausweiten.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

Status Bar

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann eine Bildschirmaufnahme eines Benutzers erstellen

Beschreibung: Ein Problem mit dem App-Zugriff auf Kamerametadaten wurde durch eine verbesserte Logik behoben.

CVE-2026-28957: Adriatik Raci

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zur Aushebelung der Inhaltssicherheitsrichtlinie führen.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2026-28907: Cantina

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zur Aushebelung der Inhaltssicherheitsrichtlinie führen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2026-43660: Cantina

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, Anonym in Zusammenarbeit mit der TrendAI Zero Day Initiative

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac und Kookhwan Lee in Zusammenarbeit mit der TrendAI Zero Day Initiative

CVE-2026-28953: Maher Azzouzi

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28819: Wang Yu

Wi-Fi

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann eventuell mithilfe manipulierter WLAN-Pakete einen Denial-of-Service-Angriff durchführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28994: Alex Radocea

zlib

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Durch den Besuch einer in böser Absicht erstellten Website können vertrauliche Daten offengelegt werden.

Beschreibung: Ein Datenleck wurde durch eine zusätzliche Validierung behoben.

CVE-2026-28920: Brendon Tiszka von Google Project Zero

Zusätzliche Danksagung

Kernel

Wir danken Ryan Hileman via Xint Code (xint.io) für die Unterstützung.

Location

Wir möchten uns bei Kun Peeks (@SwayZGl1tZyyy) für die Unterstützung bedanken.

Managed Configuration

Wir möchten uns bei kado für die Unterstützung bedanken.

Messages

Wir möchten uns bei Bishal Kafle für die Unterstützung bedanken.

Multi-Touch

Wir möchten uns bei Asaf Cohen für die Unterstützung bedanken.