Tietoja iOS 18.7.5:n ja iPadOS 18.7.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 18.7.5:n ja iPadOS 18.7.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 18.7.5 ja iPadOS 18.7.5

Accessibility

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2026-20645: Loh Boon Keat

Books

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen varmuuskopiotiedoston palauttaminen saattoi johtaa suojattujen järjestelmätiedostojen muuttumiseen.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou ja Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y ja Ricardo Garcia, Dorian Del Valle

CFNetwork

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Etäkäyttäjä saattoi pystyä kirjoittamaan mielivaltaisia tiedostoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20611: Trend Micro Zero Day Initiativen parissa työskentelevä nimetön henkilö

CoreMedia

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20634: Trend Micro Zero Day Initiativen parissa työskentelevä George Karchemsky (@gkarchemsky)

ImageIO

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-20675: Trend Micro Zero Day Initiativen parissa työskentelevä George Karchemsky (@gkarchemsky)

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.

CVE-2026-20663: Zhongcheng Li (IES Red Team)

libexpat

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-59375

libnetcore

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Live Captions

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20655: Richard Hyunho Im (@richeeta, Route Zero Security, routezero.security)

Mail

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Viestien etäsisällön lataamisen käytöstä poistaminen ei ole välttämättä tullut käyttöön kaikissa sähköpostin esikatselunäkymissä.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20673: nimetön tutkija

Messages

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: oikotie saattoi pystyä ohittamaan eristysympäristön rajoitukset.

Kuvaus: kilpailutilanne on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2026-20677: Ron Masas (BreakPoint.SH)

Model I/O

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20616: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Multi-Touch

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallinen HID-laite saattoi aiheuttaa prosessin kaatumisen odottamattomasti.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2025-43533: Google Threat Analysis Group

CVE-2025-46300: Google Threat Analysis Group

CVE-2025-46301: Google Threat Analysis Group

CVE-2025-46302: Google Threat Analysis Group

CVE-2025-46303: Google Threat Analysis Group

CVE-2025-46304: Google Threat Analysis Group

CVE-2025-46305: Google Threat Analysis Group

Safari

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Safari-historiaa.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: hyökkääjä saattoi pystyä löytämään käyttäjän poistettuja muistiinpanoja.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.

CVE-2026-20680: nimetön tutkija

StoreKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.

Kuvaus: tietosuojaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-20606: LeminLimez

Voice Control

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmäprosessin kaatumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20605: @cloudlldb (@pixiepointsec)

VoiceOver

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20661: Dalibor Milanovic

WebKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20608: HanQing (TSDubhe) ja Nan Wang (@eternalsakura13)

WebKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20644: HanQing (TSDubhe) ja Nan Wang (@eternalsakura13)

CVE-2026-20635: EntryHi

Wi-Fi

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20621: Wang Yu (Cyberserval)

Kiitokset

ImageIO

Haluamme kiittää avusta Trend Micro Zero Day Initiativen parissa työskentelevää George Karchemskyä (@gkarchemsky).

Kernel

Haluamme kiittää avusta Xinru Chia (Pangu Lab).

libpthread

Haluamme kiittää avusta Fabiano Anemonea.

WebKit

Haluamme kiittää avusta EntryHitä, Stanislav Fortia (Aisle Research), Vsevolod Kokorinia (Slonser, Solidlab) ja Jorian Woltjeria.