Informationen zum Sicherheitsinhalt von iOS 18.7.7 und iPadOS 18.7.7

Informationen zum Sicherheitsinhalt von iOS 18.7.7 und iPadOS 18.7.7.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 18.7.7 und iPadOS 18.7.7

802.1X

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise den Netzwerkdatenverkehr abfangen.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-28865: Héloïse Gollier und Mathy Vanhoef (KU Leuven)

AppleKeyStore

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20637: Johnny Franks (zeroxjf), ein anonymer Forscher

Audio

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28879: Justin Cohen von Google

Clipboard

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung eines Audiostroms in einer in böser Absicht erstellten Mediendatei kann den Prozess beenden.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-20690: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative

CoreUtils

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Benutzer mit privilegierter Netzwerkposition kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28886: Etienne Charron (Renault) und Victoria Martini (Renault)

Crash Reporter

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Durch Entfernen vertraulicher Daten wurde ein Datenschutzproblem behoben.

CVE-2026-28878: Zhongcheng Li vom IES Red Team

curl

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: In curl gab es ein Problem, durch das unbeabsichtigt vertrauliche Informationen über eine falsche Verbindung gesendet werden können.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-14524

DeviceLink

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2026-28876: Andreas Jaegersberger & Ro Achterberg von Nosebeard Labs

Focus

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2026-28880: Zhongcheng Li vom IES Red Team

ImageIO

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-64505

iTunes Store

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein Benutzer mit physischem Zugriff auf ein iOS-Gerät kann unter Umständen die Aktivierungssperre umgehen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-43534: iG0x72 und JJ von XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2026-28868: 이동하 (Lee Dong Ha von BoB 0xB6)

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Dieses Problem wurde durch eine verbesserte Authentifizierung behoben.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Dieses Problem wurde durch eine verbesserte Authentifizierung behoben.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein lokaler Angreifer kann Zugriff auf Schlüsselbundobjekte des Benutzers erlangen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2026-28864: Alex Radocea

UIFoundation

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Stapelüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28852: Caspian Tarafdar

Vision

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Analyse einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-20657: Andrew Becker

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zur Aushebelung der Inhaltssicherheitsrichtlinie führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-20665: webb

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann möglicherweise die Richtlinie für denselben Ursprung (Same Origin Policy) umgangen werden.

Beschreibung: Ein Cross-Origin-Problem in der Navigation-API wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-20643: Thomas Espach

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Ein entfernter Angreifer ist möglicherweise in der Lage, geleakte DNS-Anfragen bei aktiviertem Privat-Relay einzusehen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-43376: Mike Cardwell von grepular.com, Bob Lord

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Eine schadhafte Website kann möglicherweise auf Script Message Handler zugreifen, die für andere Ursprünge bestimmt sind.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-28861: Hongze Wu und Shuaike Dong vom Ant Group Infrastructure Security Team

WebKit

Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. Generation)

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28871: @hamayanhamayan

Zusätzliche Danksagung

Safari

Wir möchten uns bei @RenwaX23 für die Unterstützung bedanken.