À propos des correctifs de sécurité d’iOS 18.7.9 et d’iPadOS 18.7.9

Ce document décrit les correctifs de sécurité d’iOS 18.7.9 et d’iPadOS 18.7.9.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.

Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iOS 18.7.9 et iPadOS 18.7.9

Accounts

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur ou de l’utilisatrice.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-28877 : Rosyna Keller de Totally Not Malicious Software

APFS

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait provoquer un arrêt inopiné du système.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28959 : Dave G.

App Intents

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app malveillante peut être en mesure de quitter sa sandbox.

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2026-28995 : Vamshi Paili, Tony Gorez (@tonygo_) pour Reverse Society

Audio

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un flux audio dans un fichier multimédia malveillant peut entraîner l’arrêt du processus.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-39869 : David Ige de Beryllium Security

Calendar

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : un problème d’épuisement des ressources a été résolu par une meilleure validation des entrées.

CVE-2026-28872 : Alvin Aries Tapia

Calling Framework

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : un problème de déni de service a été résolu par une meilleure validation des entrées.

CVE-2026-28894 : un chercheur ou une chercheuse anonyme

CoreServices

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.

Description : le problème a été résolu par de meilleures vérifications.

CVE-2026-28936 : Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs

FileProvider

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur ou de l’utilisatrice.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-43659 : Alex Radocea

GeoServices

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur ou de l’utilisatrice.

Description : une fuite d’informations a été résolue par une validation supplémentaire.

CVE-2026-28870 : XiguaSec

ImageIO

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2026-28977 : Suresh Sundaram

IOHIDFamily

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant pourrait provoquer la fermeture inopinée d’une app.

Description : une vulnérabilité liée à la corruption de la mémoire a été résolue par un meilleur verrouillage.

CVE-2026-28992 : Johnny Franks (@zeroxjf)

IOHIDFamily

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app peut être en mesure de déterminer la structure de la mémoire noyau.

Description : un problème de journalisation a été résolu par l’amélioration du masquage des données.

CVE-2026-28943 : Threat Analysis Group de Google

IOKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait provoquer un arrêt inopiné du système.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28969 : Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait divulguer le contenu de la mémoire du noyau.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43654 : Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une image disque malveillante pourrait contourner les vérifications de Gatekeeper.

Description : un contournement de la mise en quarantaine de fichiers a été résolu par la mise en place de vérifications supplémentaires.

CVE-2026-28954 : Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un utilisateur local pourrait entraîner un arrêt inopiné du système ou la lecture du contenu de la mémoire du noyau.

Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation des entrées.

CVE-2026-28897 : Robert Tran, popku1337, Billy Jheng Bing Jhong et Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Aswin Kumar Gokulakannan

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait provoquer un arrêt inopiné du système.

Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.

CVE-2026-28952 : Calif.io en collaboration avec une recherche Claude et Anthropic

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : il est possible qu’une app profite de privilèges root.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-28951 : Csaba Fitzl (@theevilbit) d’Iru

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait provoquer l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2026-28972 : Billy Jheng Bing Jhong et Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait provoquer un arrêt inopiné du système.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-28986 : Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman via Xint Code (xint.io), Chris Betz

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app peut divulguer des informations sensibles sur l’état du noyau.

Description : un problème de journalisation a été résolu par l’amélioration du masquage des données.

CVE-2026-28987 : Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : un problème de confusion de types a été résolu par de meilleures vérifications.

CVE-2026-28983 : Ruslan Dautov

libxpc

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app peut être en mesure d’énumérer les apps installées d’un utilisateur.

Description : le problème a été résolu par la réalisation de meilleures vérifications.

CVE-2026-28882 : Ilya Andr (andrd3v), Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : l’envoi d’une réponse à un e-mail pourrait afficher des images distantes dans Mail en mode Isolement.

Description : un problème de logique a été résolu par la réalisation de meilleures vérifications.

CVE-2026-28929 : Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant sur le réseau local pourrait être en mesure d’entraîner un déni de service.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43653 : Atul R V

mDNSResponder

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant distant pourrait entraîner un arrêt inopiné du système ou corrompre la mémoire du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43668 : Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant sur le réseau local pourrait être en mesure d’entraîner un déni de service.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-43666 : Ian van der Wurff (ian.nl)

Model I/O

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’une image malveillante pourrait corrompre la mémoire de traitement.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28940 : Michael DePlante (@izobashi) du programme Zero Day Initiative de TrendAI

Model I/O

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un fichier malveillant pourrait provoquer un déni de service ou la divulgation potentielle du contenu de la mémoire.

Description : le problème a été résolu par de meilleures vérifications.

CVE-2026-28941 : Michael DePlante (@izobashi) du programme Zero Day Initiative de TrendAI

Networking

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant peut être en mesure de pister les utilisateurs via leur adresse IP.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-28906 : Ilya Sc. Jowell A.

Privacy

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app peut être en mesure de contourner la consignation dans le Rapport de confidentialité des apps.

Description : le problème a été résolu par une vérification supplémentaire des autorisations.

CVE-2026-28873 : Guy Dor

Quick Look

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : l’analyse d’un fichier malveillant pourrait entraîner l’arrêt inopiné d’apps.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2026-43656 : Peter Malone

SceneKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant distant pourrait provoquer la fermeture inopinée d’une app.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28846 : Peter Malone

Shortcuts

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur.

Description : ce problème a été résolu par l’ajout d’une invite permettant d’obtenir le consentement de l’utilisateur.

CVE-2026-28993 : Doron Assness

Siri

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait élever les privilèges.

Description : un problème de logique a été résolu par la réalisation de meilleures vérifications.

Status Bar

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait effectuer une capture de l’écran d’un utilisateur.

Description : une amélioration de la logique a permis de résoudre un problème d’accès aux métadonnées de l’appareil photo par une app.

CVE-2026-28957 : Adriatik Raci

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement de contenu web malveillant pourrait empêcher l’application de la politique de sécurité du contenu.

Description : ce problème a été résolu par une meilleure validation des entrées.

CVE-2026-28907 : Cantina

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement de contenu web malveillant pourrait empêcher l’application de la politique de sécurité du contenu.

Description : un problème de validation a été résolu par une meilleure logique.

CVE-2026-43660 : Cantina

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28847 : DARKNAVY (@DarkNavyOrg), Daniel Rhea, une contribution anonyme en collaboration avec le programme Zero Day Initiative de TrendAI

CVE-2026-28904 : Luka Rački

CVE-2026-28903 : Mateusz Krzywicki (iVerify.io)

CVE-2026-28955 : wac et Kookhwan Lee en collaboration avec le programme Zero Day Initiative de TrendAI

CVE-2026-28953 : Maher Azzouzi

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un contenu web malveillant pourrait entraîner la divulgation d’informations sensibles de l’utilisateur.

Description : ce problème a été résolu par de meilleures restrictions d’accès.

CVE-2026-28962 : Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.

Description : ce problème a été résolu par une meilleure validation des entrées.

CVE-2026-28917 : Vitaly Simonovich

Wi-Fi

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : une app pourrait exécuter un code arbitraire avec des privilèges liés au noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-28819 : Wang Yu

Wi-Fi

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau pourrait provoquer une attaque par déni de service par le biais de paquets Bluetooth élaborés.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28994 : Alex Radocea

zlib

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR, iPad (7e génération)

Conséquence : la consultation d’un site web malveillant peut donner lieu à une fuite de données sensibles.

Description : une fuite d’informations a été résolue par une validation supplémentaire.

CVE-2026-28920 : Brendon Tiszka de Google Project Zero

Remerciements supplémentaires

Kernel

Nous tenons à remercier Ryan Hileman via Xint Code (xint.io) pour son aide.

Location

Nous tenons à remercier Kun Peeks (@SwayZGl1tZyyy) pour son aide.

Managed Configuration

Nous tenons à remercier kado pour son aide.

Messages

Nous tenons à remercier Bishal Kafle pour son aide.

Multi-Touch

Nous tenons à remercier Asaf Cohen pour son aide.