Tietoja iOS 18.7.9:n ja iPadOS 18.7.9:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 18.7.9:n ja iPadOS 18.7.9:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 18.7.9 ja iPadOS 18.7.9

Accounts

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

APFS

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28959: Dave G.

App Intents

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2026-28995: Vamshi Paili ja Tony Gorez (@tonygo_, Reverse Society)

Audio

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39869: David Ige (Beryllium Security)

Calendar

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: resurssien loppumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28894: nimetön tutkija

CoreServices

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg (Nosebeard Labs)

FileProvider

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-43659: Alex Radocea

GeoServices

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28870: XiguaSec

ImageIO

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking ja Ashish Kunwar

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43654: Vaagn Vardanian ja Nathaniel Oh (@calysteon)

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallinen levytiedosto saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: tiedostokaranteenin ohittaminen on ratkaistu lisäämällä tarkistuksia.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla saapuvien tietojen tarkistusta.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong, Pan Zhenpeng (@Peterpan0927, STAR Labs SG Pte. Ltd.) ja Aswin kumar Gokulakannan

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28952: Calif.io yhteistyössä Clauden ja Anthropic Researchin kanssa

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28951: Csaba Fitzl (@theevilbit, Iru)

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28972: Billy Jheng Bing Jhong, Pan Zhenpeng (@Peterpan0927, STAR Labs SG Pte. Ltd.) ja Ryan Hileman (Xint Code, xint.io)

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28986: Tristan Madani (@TristanInSec, Talence Security), Ryan Hileman (Xint Code, xint.io) ja Chris Betz

Kernel

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28983: Ruslan Dautov

libxpc

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0) ja @hugeBlack

Mail Drafts

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: sähköpostiin vastaaminen saattoi näyttää etäkuvia Mailissa sulkutilassa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43653: Atul R V

mDNSResponder

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28940: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Model I/O

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28941: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Networking

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Hyökkääjä saattoi pystyä seuraamaan käyttäjiä IP-osoitteen kautta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä kiertämään App Privacy Report -kirjauksen.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2026-28873: Guy Dor

Quick Look

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-43656: Peter Malone

SceneKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28846: Peter Malone

Shortcuts

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2026-28993: Doron Assness

Siri

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

Status Bar

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Sovellus saattoi pystyä ottamaan kuvan käyttäjän näytöstä.

Kuvaus: Kameran metatietojen käyttöoikeusongelma apeissa on korjattu parantamalla logiikkaa.

CVE-2026-28957: Adriatik Raci

WebKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28907: Cantina

WebKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2026-43660: Cantina

WebKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea ja nimetön henkilö yhteistyössä TrendAI Zero Day Initiativen kanssa.

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac ja Kookhwan Lee yhteistyössä TrendAI Zero Day Initiativen kanssa.

CVE-2026-28953: Maher Azzouzi

WebKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox ja Adel Bouachraoui

WebKit

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28819: Wang Yu

Wi-Fi

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Wi-Fi-paketteja.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28994: Alex Radocea

zlib

Saatavuus: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. sukupolvi

Vaikutus: haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Kiitokset

Kernel

Haluamme kiittää avusta Ryan Hilemania (Xint Code, xint.io).

Location

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).

Managed Configuration

Haluamme kiittää avusta kadoa.

Messages

Haluamme kiittää avusta Bishal Kaflea.

Multi-Touch

Haluamme kiittää avusta Asaf Cohenia.