À propos des correctifs de sécurité d’iOS 18.7.7 et d’iPadOS 18.7.7

À propos des correctifs de sécurité d’iOS 18.7.7 et d’iPadOS 18.7.7

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.

Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iOS 18.7.7 et iPadOS 18.7.7

802.1X

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter le trafic du réseau.

Description : un problème d’authentification a été résolu par une meilleure gestion des états.

CVE-2026-28865 : Héloïse Gollier et Mathy Vanhoef (KU Leuven)

AppleKeyStore

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait provoquer un arrêt inopiné du système.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20637 : Johnny Franks (zeroxjf), un chercheur anonyme

Audio

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.

Description : un problème d’utilisation ultérieure libre a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28879 : Justin Cohen de Google

Clipboard

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur ou de l’utilisatrice.

Description : ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2026-28866 : Cristian Dinca (icmd.tech)

CoreMedia

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un flux audio dans un fichier multimédia malveillant peut mettre fin au processus.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-20690 : Hossein Lotfi (@hosselot) du programme Zero Day Initiative de Trend Micro

CoreUtils

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un utilisateur bénéficiant d’une position privilégiée sur le réseau peut être à l’origine d’un déni de service.

Description : un déréférencement de pointeurs null a été résolu par une meilleure validation des entrées.

CVE-2026-28886 : Etienne Charron (Renault) et Victoria Martini (Renault)

Crash Reporter

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app peut être en mesure d’énumérer les apps installées d’un utilisateur.

Description : un problème de confidentialité a été résolu par la suppression de données sensibles.

CVE-2026-28878 : Zhongcheng Li de l’IES Red Team

curl

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un problème dans curl provoquait entraîner l’envoi accidentel d’informations sensibles au moyen d’une connexion incorrecte.

Description : une vulnérabilité est présente dans le code open source et les logiciels Apple font partie des projets concernés. La référence CVE a été attribuée par un tiers. Consultez le site cve.org pour en savoir plus sur le problème et la référence CVE.

CVE-2025-14524

DeviceLink

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur ou de l’utilisatrice.

Description : un problème d’analyse dans la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.

CVE-2026-28876 : Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs

Focus

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur ou de l’utilisatrice.

Description : un problème de journalisation a été résolu par l’amélioration du masquage des données.

CVE-2026-20668 : Kirin (@Pwnrin)

iCloud

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app peut être en mesure d’énumérer les apps installées d’un utilisateur.

Description : un problème d’autorisations a été résolu par des restrictions supplémentaires.

CVE-2026-28880 : Zhongcheng Li de l’IES Red Team

ImageIO

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.

Description : une vulnérabilité est présente dans le code open source et les logiciels Apple font partie des projets concernés. La référence CVE a été attribuée par un tiers. Consultez le site cve.org pour en savoir plus sur le problème et la référence CVE.

CVE-2025-64505

iTunes Store

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un utilisateur ayant physiquement accès à un appareil iOS peut contourner le verrouillage d’activation.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2025-43534 : iG0x72 et JJ de XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait divulguer le contenu de la mémoire du noyau.

Description : un problème de journalisation a été résolu par l’amélioration du masquage des données.

CVE-2026-28868 : 이동하 (Lee Dong Ha of BoB 0xB6)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app peut divulguer des informations sensibles sur l’état du noyau.

Description : ce problème a été résolu par une meilleure authentification.

CVE-2026-28867 : Jian Lee (@speedyfriend433)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait provoquer l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20687 : Johnny Franks (@zeroxjf)

mDNSResponder

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app peut divulguer des informations sensibles sur l’état du noyau.

Description : ce problème a été résolu par une meilleure authentification.

CVE-2026-28867 : Jian Lee (@speedyfriend433)

Security

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant ou une attaquante en local peut être en mesure d’accéder au contenu du trousseau de l’utilisateur ou de l’utilisatrice.

Description : ce problème a été résolu par une meilleure vérification des autorisations.

CVE-2026-28864 : Alex Radocea

UIFoundation

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait être en mesure de provoquer un déni de service.

Description : un problème de dépassement de pile a été résolu par une meilleure validation des entrées.

CVE-2026-28852 : Caspian Tarafdar

Vision

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : l’analyse d’un fichier malveillant pourrait entraîner l’arrêt inopiné d’apps.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20657 : Andrew Becker

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement de contenu web malveillant pourrait empêcher l’application de la politique de sécurité du contenu.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-20665 : webb

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut contourner la politique de même origine.

Description : un problème d’origines multiples dans l’API Navigation a été résolu par une meilleure validation des entrées.

CVE-2026-20643 : Thomas Espach

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant distant peut être en mesure de visualiser des requêtes DNS ayant fuité lorsque le réglage Relais privé est activé.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2025-43376 : Mike Cardwell de grepular.com, Bob Lord

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un site web malveillant pourrait accéder à des gestionnaires de messages de script destinés à d’autres origines.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2026-28861 : Hongze Wu et Shuaike Dong d’Ant Group Infrastructure Security Team

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : la consultation d’un site web malveillant peut entraîner une attaque d’injection de code indirect.

Description : un problème de logique a été résolu par la réalisation de meilleures vérifications.

CVE-2026-28871 : @hamayanhamayan

Remerciements supplémentaires

Safari

Nous tenons à remercier @RenwaX23 pour son aide.