En este documento, se describe el contenido de seguridad de iOS 18.7.9 y iPadOS 18.7.9.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
Publicado el 11 de mayo de 2026
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2026-28877: Rosyna Keller de Totally Not Malicious Software
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2026-28959: Dave G.
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) de Reverse Society
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: El procesamiento de una secuencia de audio en un archivo multimedia creado con fines malintencionados podía dar por terminado el proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-39869: David Ige de Beryllium Security
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Un atacante remoto podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de agotamiento de recursos mejorando la validación de entradas.
CVE-2026-28872: Alvin Aries Tapia
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Un atacante remoto podía provocar una denegación de servicio.
Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación de entradas.
CVE-2026-28894: Un investigador anónimo
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2026-28936: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2026-43659: Alex Radocea
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se abordó una filtración de información con validación adicional.
CVE-2026-28870: XiguaSec
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
CVE-2026-28977: Suresh Sundaram
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2026-28992: Johnny Franks (@zeroxjf)
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que una app pueda determinar la distribución de la memoria del kernel
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2026-28943: Google Threat Analysis Group
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una imagen de disco creada con fines malintencionados podía omitir las comprobaciones de Gatekeeper.
Descripción: Se solucionó un problema de omisión de cuarentena de archivos con comprobaciones adicionales.
CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Un usuario local puede provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de búferes.
CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de enteros.
CVE-2026-28952: Calif.io en colaboración con Claude y Anthropic Research
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2026-28951: Csaba Fitzl (@theevilbit) de Iru
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman a través de Xint Code (xint.io)
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2026-28986: Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman a través de Xint Code (xint.io), Chris Betz
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía filtrar el estado confidencial del kernel.
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio
Descripción: Para solucionar un problema de tipo confusión, se mejoraron las comprobaciones.
CVE-2026-28983: Ruslan Dautov
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que una app pueda enumerar las aplicaciones instaladas por el usuario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Al responder un correo electrónico, podían aparecer imágenes remotas en Mail en el modo hermético.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: un atacante en la red local puede provocar una denegación de servicio
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-43653: Atul R V
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-43668: Ricardo Prado, Anton Pakhunov
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: un atacante en la red local puede provocar una denegación de servicio
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-28940: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda ocasionar una denegación de servicio o revelar el contenido de la memoria
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2026-28941: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Un atacante podía rastrear a los usuarios a través de sus direcciones IP.
Descripción: Para solucionar este problema, se mejoró la administración del estado.
CVE-2026-28906: Ilya Sc. Jowell A.
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que una app pueda eludir el registro del informe de privacidad de la app.
Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.
CVE-2026-28873: Guy Dor
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que el análisis de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2026-43656: Peter Malone
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Un atacante remoto podía provocar el cierre inesperado de la app.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2026-28846: Peter Malone
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.
CVE-2026-28993: Doron Assness
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Una app podía aumentar los privilegios.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que una app pueda realizar una captura de la pantalla del usuario
Descripción: Se mejoró la lógica para solucionar un problema con el acceso de la app a los metadatos de la cámara.
CVE-2026-28957: Adriatik Raci
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.
Descripción: Se mejoró la validación de entradas para solucionar el problema.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.
Descripción: Se solucionó un problema de validación mejorando la lógica.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, un investigador anónimo en colaboración con el programa Zero Day Initiative de TrendAI
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 310880
CVE-2026-28955: wac y Kookhwan Lee en colaboración con el programa Zero Day Initiative de TrendAI
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía divulgar información confidencial del usuario.
Descripción: Para solucionar este problema, se mejoraron las restricciones de acceso.
WebKit Bugzilla: 309698
CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong/kakaogames, greenbynox, Adel Bouachraoui
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Se mejoró la validación de entradas para solucionar el problema.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2026-28819: Wang Yu
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: Un atacante en una posición de red privilegiada podía realizar un ataque de denegación de servicio mediante paquetes de Wi-Fi creados.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-28994: Alex Radocea
Disponible para los siguientes modelos: iPhone XS, iPhone XS Max, iPhone XR, iPad (séptima generación)
Impacto: La visita a un sitio web creado con fines malintencionados podía filtrar información confidencial.
Descripción: Se abordó una filtración de información con validación adicional.
CVE-2026-28920: Brendon Tiszka de Proyecto Cero de Google
Nos gustaría darle las gracias a Ryan Hileman a través de Xint Code (xint.io) por su ayuda.
Nos gustaría darle las gracias a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.
Nos gustaría darle las gracias a kado por su ayuda.
Nos gustaría darle las gracias a Bishal Kafle por su ayuda.
Nos gustaría darle las gracias a Asaf Cohen por su ayuda.