Tietoja iOS 18.7.7:n ja iPadOS 18.7.7:n turvallisuussisällöstä

Tietoja iOS 18.7.7:n ja iPadOS 18.7.7:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 18.7.7 ja iPadOS 18.7.7

Julkaistu 24.3.2026

Huomautus: Laajensimme iOS 18.7.7:n saatavuutta useampiin laitteisiin 1. huhtikuuta 2026, joten automaattiset päivitykset käyttöön ottaneet käyttäjät saavat automaattisesti tärkeät suojaukset DarkSword-nimisiä verkkohyökkäyksiä vastaan. DarkSword-haavoittuvuuteen liittyvät korjaukset julkaistiin ensimmäisen kerran vuonna 2025.

802.1X

Saatavilla seuraaviin malleihin: iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (kaikki mallit), iPhone SE (2. sukupolvi), iPhone 12 (kaikki mallit), iPhone 13 (kaikki mallit), iPhone SE (3. sukupolvi), iPhone 14 (kaikki mallit), iPhone 15 (kaikki mallit), iPhone 16 (kaikki mallit), iPhone 16e, iPad mini (5. sukupolvi – A17 Pro), iPad (7. sukupolvi – A16), iPad Air (3.–5. sukupolvi), 11 tuuman iPad Air (M2–M3), 13 tuuman iPad Air (M2–M3), 11 tuuman iPad Pro (1. sukupolvi – M4), 12,9 tuuman iPad Pro (3.–6. sukupolvi) ja 13 tuuman iPad Pro (M4)

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)

AppleKeyStore

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20637: Johnny Franks (zeroxjf), nimetön tutkija

Audio

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28879: Justin Cohen (Google)

Clipboard

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)

Crash Reporter

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Vaikutus: curlin ongelma saattoi aiheuttaa arkaluontoisten tietojen tahattoman lähetyksen väärän yhteyden kautta.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-14524

DeviceLink

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28876: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

Focus

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

ImageIO

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

CVE-2025-64505

iTunes Store

Vaikutus: käyttäjä, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä ohittamaan aktivointilukituksen.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-43534: iG0x72 ja JJ (XiguaSec), Lehan Dilusha Jayasinghe

Kernel

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2026-28864: Alex Radocea

UIFoundation

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28852: Caspian Tarafdar

Vision

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20657: Andrew Becker

WebKit

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön

Kuvaus: Navigation API -rajapinnan ristilähdeongelma korjattiin parantamalla annettujen tietojen vahvistamista.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Vaikutus: etähyökkääjä saattoi pystyä katsomaan vuodettuja DNS-kyselyjä, kun Suojattu lähetys oli päällä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell (grepular.com), Bob Lord

WebKit

Vaikutus: haitallinen verkkosivusto saattoi pystyä käyttämään muihin alkuperiin tarkoitettuja komentosarjojen viestikäsittelijöitä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu ja Shuaike Dong (Ant Group Infrastructure Security Team)

WebKit

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

Kiitokset

Safari

Haluamme kiittää avusta @RenwaX23:a.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 6. huhtikuuta 2026