À propos des correctifs de sécurité d’iOS 18.7.7 et d’iPadOS 18.7.7

À propos des correctifs de sécurité d’iOS 18.7.7 et d’iPadOS 18.7.7.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iOS 18.7.7 et iPadOS 18.7.7

802.1X

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter le trafic du réseau.

Description : un problème d’authentification a été résolu grâce à une meilleure gestion des états.

CVE-2026-28865 : Héloïse Gollier et Mathy Vanhoef (KU Leuven)

AppleKeyStore

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20637 : Johnny Franks (zeroxjf), un chercheur anonyme

Audio

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28879 : Justin Cohen de Google

Clipboard

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2026-28866 : Cristian Dinca (icmd.tech)

CoreMedia

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un flux audio dans un fichier multimédia malveillant peut entraîner l’arrêt du processus

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-20690 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreUtils

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un utilisateur bénéficiant d’une position privilégiée sur un réseau pourrait être en mesure de causer une interruption de service.

Description : un problème de déréférencement de pointeurs null a été résolu par une validation des entrées améliorée.

CVE-2026-28886 : Etienne Charron (Renault) et Victoria Martini (Renault)

Crash Reporter

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : un problème de confidentialité a été résolu en retirant les données sensibles.

CVE-2026-28878 : Zhongcheng Li d’IES Red Team

curl

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une faille existait dans curl qui pouvait entraîner l’envoi involontaire d’informations sensibles via une connexion incorrecte

Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE sur le site cve.org.

CVE-2025-14524

DeviceLink

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’analyse de la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.

CVE-2026-28876 : Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs

Focus

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-20668 : Kirin (@Pwnrin)

iCloud

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2026-28880 : Zhongcheng Li d’IES Red Team

ImageIO

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE sur le site cve.org.

CVE-2025-64505

iTunes Store

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un utilisateur bénéficiant d’un accès physique à un appareil iOS peut être en mesure de contourner le verrouillage d’activation

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2025-43534 : iG0x72 et JJ de XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-28868 : 이동하 (Lee Dong Ha de BoB 0xB6)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : ce problème a été résolu par une meilleure authentification.

CVE-2026-28867 : Jian Lee (@speedyfriend433)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20687 : Johnny Franks (@zeroxjf)

mDNSResponder

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : ce problème a été résolu par une meilleure authentification.

CVE-2026-28867 : Jian Lee (@speedyfriend433)

Security

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant local peut être en mesure d’accéder aux éléments du trousseau de l’utilisateur.

Description : ce problème a été résolu par une meilleure vérification des autorisations.

CVE-2026-28864 : Alex Radocea

UIFoundation

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être à l’origine d’un déni de service.

Description : un problème de dépassement de pile a été résolu par une meilleure validation des entrées.

CVE-2026-28852 : Caspian Tarafdar

Vision

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : l’analyse d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20657 : Andrew Becker

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement de contenus web malveillants est susceptible d’empêcher l’application de la politique de sécurité du contenu.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-20665 : webb

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un contenu web malveillant pourrait contourner la politique de même origine.

Description : un problème lié à l’interopérabilité entre origines dans l’API Navigation a été résolu grâce à une amélioration de la validation des données saisies.

CVE-2026-20643 : Thomas Espach

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant distant peut être en mesure de voir les requêtes DNS divulguées avec le relais privé activé.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2025-43376 : Mike Cardwell de grepular.com et Bob Lord

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un site web malveillant pourrait accéder à des gestionnaires de messages de script destinés à d’autres origines

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2026-28861 : Hongze Wu et Shuaike Dong de Ant Group Infrastructure Security Team

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : la consultation d’un site web malveillant peut entraîner une attaque par exécution de scripts intersites.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2026-28871 : @hamayanhamayan

Remerciements supplémentaires

Safari

Nous tenons à remercier@RenwaX23 pour son aide.