Acerca del contenido de seguridad de iOS 18.7.9 y iPadOS 18.7.9

En este documento se describe el contenido de seguridad de iOS 18.7.9 y iPadOS 18.7.9.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 18.7.9 y iPadOS 18.7.9

Accounts

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2026-28877: Rosyna Keller de Totally Not Malicious Software

APFS

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2026-28959: Dave G.

App Intents

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app maliciosa podría salir de su zona restringida

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) para Reverse Society

Audio

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de un flujo de audio en un archivo multimedia creado con fines malintencionados puede detener el proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-39869: David Ige de Beryllium Security

Calendar

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante remoto podría ser capaz de provocar una denegación del servicio

Descripción: se ha solucionado un problema de falta de recursos mejorando la validación de entrada.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante remoto podría ser capaz de provocar una denegación del servicio

Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la validación de las entradas.

CVE-2026-28894: un investigador anónimo

CoreServices

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2026-28936: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs

FileProvider

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2026-43659: Alex Radocea

GeoServices

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se solucionó una filtración de información mediante una validación adicional.

CVE-2026-28870: XiguaSec

ImageIO

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría ser capaz de determinar el diseño de la memoria de kernel.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking y Ashish Kunwar

Kernel

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una imagen de disco creada con fines malintencionados podría eludir las comprobaciones de Gatekeeper.

Descripción: se ha abordado una omisión de cuarentena de archivos con comprobaciones adicionales.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación de entrada.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

CVE-2026-28952: Calif.io en colaboración con Claude y Anthropic Research

Kernel

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2026-28951: Csaba Fitzl (@theevilbit) de Iru

Kernel

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman vía Xint Code (xint.io)

Kernel

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2026-28986: Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman vía Xint Code (xint.io), Chris Betz

Kernel

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante remoto podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2026-28983: Ruslan Dautov

libxpc

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: responder a un correo electrónico podría mostrar imágenes remotas en Mail en el modo de aislamiento.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-43653: Atul R V

mDNSResponder

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o dañar la memoria del kernel.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: procesar una imagen creada con fines malintencionados podría corromper la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28940: Michael DePlante (@izobashi) de TrendAI Zero Day Initiative

Model I/O

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría generar una denegación de servicio o una posible revelación del contenido de la memoria

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2026-28941: Michael DePlante (@izobashi) de TrendAI Zero Day Initiative

Networking

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante podría hacer un seguimiento de los usuarios mediante sus direcciones IP.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacidad

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría eludir el registro del informe de privacidad de las apps.

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2026-28873: Guy Dor

Quick Look

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el análisis de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2026-43656: Peter Malone

SceneKit

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de apps.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2026-28846: Peter Malone

Shortcuts

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría acceder a datos confidenciales de los usuarios

Descripción: este problema se ha solucionado añadiendo una solicitud adicional de consentimiento del usuario.

CVE-2026-28993: Doron Assness

Siri

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría obtener privilegios de alto nivel

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

Status Bar

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: una app podría capturar la pantalla de un usuario.

Descripción: se ha solucionado un problema con el acceso de aplicaciones a los metadatos de la cámara mejorando la lógica.

CVE-2026-28957: Adriatik Raci

WebKit

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2026-28907: Cantina

WebKit

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2026-43660: Cantina

WebKit

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, persona anónima en colaboración con TrendAI Zero Day Initiative

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac y Kookhwan Lee en colaboración con TrendAI Zero Day Initiative

CVE-2026-28953: Maher Azzouzi

WebKit

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría revelar información confidencial del usuario.

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: Una app podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2026-28819: Wang Yu

Wi-Fi

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: un atacante en una posición de red privilegiada podría implementar un ataque de denegación de servicio mediante paquetes wifi creados.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28994: Alex Radocea

zlib

Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)

Impacto: al visitar un sitio web creado con fines malintencionados podría filtrarse información sensible.

Descripción: se solucionó una filtración de información mediante una validación adicional.

CVE-2026-28920: Brendon Tiszka de Google Project Zero

Otros agradecimientos

Kernel

Nos gustaría dar las gracias a Ryan Hileman vía Xint Code (xint.io) por su ayuda.

Location

Nos gustaría agradecer a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.

Managed Configuration

Queremos dar las gracias a kado por su ayuda.

Messages

Nos gustaría dar las gracias a Bishal Kafle por su ayuda.

Multi-Touch

Nos gustaría dar las gracias a Asaf Cohen por su ayuda.