Acerca del contenido de seguridad de iOS 18.7.9 y iPadOS 18.7.9

En este documento, se describe el contenido de seguridad de iOS 18.7.9 y iPadOS 18.7.9.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

iOS 18.7.9 y iPadOS 18.7.9

Accounts

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2026-28877: Rosyna Keller de Totally Not Malicious Software

APFS

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2026-28959: Dave G.

App Intents

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.

Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) de Reverse Society

Audio

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: El procesamiento de una secuencia de audio en un archivo multimedia creado con fines malintencionados podía dar por terminado el proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-39869: David Ige de Beryllium Security

Calendar

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Un atacante remoto podía provocar una denegación de servicio.

Descripción: Se solucionó un problema de agotamiento de recursos mejorando la validación de entradas.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Un atacante remoto podía provocar una denegación de servicio.

Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación de entradas.

CVE-2026-28894: Un investigador anónimo

CoreServices

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2026-28936: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs

FileProvider

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2026-43659: Alex Radocea

GeoServices

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se abordó una filtración de información con validación adicional.

CVE-2026-28870: XiguaSec

ImageIO

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app

Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que una app pueda determinar la distribución de la memoria del kernel

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía divulgar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una imagen de disco creada con fines malintencionados podía omitir las comprobaciones de Gatekeeper.

Descripción: Se solucionó un problema de omisión de cuarentena de archivos con comprobaciones adicionales.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Un usuario local puede provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de búferes.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de enteros.

CVE-2026-28952: Calif.io en colaboración con Claude y Anthropic Research

Kernel

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2026-28951: Csaba Fitzl (@theevilbit) de Iru

Kernel

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman a través de Xint Code (xint.io)

Kernel

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2026-28986: Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman a través de Xint Code (xint.io), Chris Betz

Kernel

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía filtrar el estado confidencial del kernel.

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio

Descripción: Para solucionar un problema de tipo confusión, se mejoraron las comprobaciones.

CVE-2026-28983: Ruslan Dautov

libxpc

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que una app pueda enumerar las aplicaciones instaladas por el usuario

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Al responder un correo electrónico, podían aparecer imágenes remotas en Mail en el modo hermético.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: un atacante en la red local puede provocar una denegación de servicio

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-43653: Atul R V

mDNSResponder

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: un atacante en la red local puede provocar una denegación de servicio

Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28940: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI

Model I/O

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda ocasionar una denegación de servicio o revelar el contenido de la memoria

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2026-28941: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI

Networking

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Un atacante podía rastrear a los usuarios a través de sus direcciones IP.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que una app pueda eludir el registro del informe de privacidad de la app.

Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.

CVE-2026-28873: Guy Dor

Quick Look

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que el análisis de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2026-43656: Peter Malone

SceneKit

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Un atacante remoto podía provocar el cierre inesperado de la app.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2026-28846: Peter Malone

Shortcuts

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.

CVE-2026-28993: Doron Assness

Siri

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Una app podía aumentar los privilegios.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

Status Bar

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que una app pueda realizar una captura de la pantalla del usuario

Descripción: Se mejoró la lógica para solucionar un problema con el acceso de la app a los metadatos de la cámara.

CVE-2026-28957: Adriatik Raci

WebKit

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2026-28907: Cantina

WebKit

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.

Descripción: Se solucionó un problema de validación mejorando la lógica.

CVE-2026-43660: Cantina

WebKit

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, un investigador anónimo en colaboración con el programa Zero Day Initiative de TrendAI

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac y Kookhwan Lee en colaboración con el programa Zero Day Initiative de TrendAI

CVE-2026-28953: Maher Azzouzi

WebKit

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía divulgar información confidencial del usuario.

Descripción: Para solucionar este problema, se mejoraron las restricciones de acceso.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong/kakaogames, greenbynox, Adel Bouachraoui

WebKit

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.

CVE-2026-28819: Wang Yu

Wi-Fi

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: Un atacante en una posición de red privilegiada podía realizar un ataque de denegación de servicio mediante paquetes de Wi-Fi creados.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28994: Alex Radocea

zlib

Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)

Impacto: La visita a un sitio web creado con fines malintencionados podía filtrar información confidencial.

Descripción: Se abordó una filtración de información con validación adicional.

CVE-2026-28920: Brendon Tiszka de Proyecto Cero de Google

Otros agradecimientos

Kernel

Nos gustaría darle las gracias a Ryan Hileman a través de Xint Code (xint.io) por su ayuda.

Location

Nos gustaría darle las gracias a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.

Managed Configuration

Nos gustaría darle las gracias a kado por su ayuda.

Messages

Nos gustaría darle las gracias a Bishal Kafle por su ayuda.

Multi-Touch

Nos gustaría darle las gracias a Asaf Cohen por su ayuda.