À propos des correctifs de sécurité d’iOS 18.7.9 et d’iPadOS 18.7.9

Ce document décrit les correctifs de sécurité d’iOS 18.7.9 et d’iPadOS 18.7.9.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iOS 18.7.9 et iPadOS 18.7.9

Accounts

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-28877 : Rosyna Keller de Totally Not Malicious Software

APFS

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28959 : Dave G.

App Intents

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app malveillante peut être en mesure de sortir de son bac à sable

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2026-28995 : Vamshi Paili, Tony Gorez (@tonygo_) de Reverse Society

Audio

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un flux audio dans un fichier multimédia malveillant peut entraîner l’arrêt du processus

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-39869 : David Ige de Beryllium Security

Calendar

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : un problème d’épuisement des ressources a été résolu par une meilleure validation des entrées.

CVE-2026-28872 : Alvin Aries Tapia

Calling Framework

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : un problème de déni de service a été résolu par une meilleure validation de l’entrée.

CVE-2026-28894 : un chercheur anonyme

CoreServices

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2026-28936 : Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs

FileProvider

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-43659 : Alex Radocea

GeoServices

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : une fuite d’informations a été résolue par une validation supplémentaire.

CVE-2026-28870 : XiguaSec

ImageIO

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2026-28977 : Suresh Sundaram

IOHIDFamily

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant pourrait être en mesure de provoquer la fermeture inopinée d’une app.

Description : une vulnérabilité liée à la corruption de la mémoire a été résolue par un meilleur verrouillage.

CVE-2026-28992 : Johnny Franks (@zeroxjf)

IOHIDFamily

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut déterminer la structure de la mémoire noyau.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-28943 : Groupe d’analyse des menaces de Google

IOKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28969 : Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43654 : Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une image disque malveillante peut contourner les contrôles de Gatekeeper.

Description : le contournement d’une mise en quarantaine de fichiers a été corrigé par des vérifications supplémentaires.

CVE-2026-28954 : Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou de lire le contenu de la mémoire du noyau.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure validation des entrées.

CVE-2026-28897 : Robert Tran, popku1337, Billy Jheng Bing Jhong et Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de dépassement d’entiers a été résolu par une meilleure validation des entrées.

CVE-2026-28952 : Calif.io en collaboration avec Claude et Anthropic Research

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’accéder à des privilèges liés à la racine.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-28951 : Csaba Fitzl (@theevilbit) d’Iru

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2026-28972 : Billy Jheng Bing Jhong et Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman de Xint Code (xint.io)

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-28986 : Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman de Xint Code (xint.io), Chris Betz

Kernel

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-28987 : Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : un problème de confusion liée aux types a été résolu par de meilleures vérifications.

CVE-2026-28983 : Ruslan Dautov

libxpc

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2026-28882 : Ilya Andr (andrd3v), Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : la réponse à un courriel pourrait entraîner l’affichage d’images distantes dans Mail en mode de confinement.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2026-28929 : Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant ayant accès au réseau local peut être à l’origine d’un déni de service.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43653 : Atul R V

mDNSResponder

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inattendu du système ou de corrompre la mémoire du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43668 : Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant ayant accès au réseau local peut être à l’origine d’un déni de service.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-43666 : Ian van der Wurff (ian.nl)

Model I/O

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’une image malveillante peut endommager la mémoire du processus.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28940 : Michael DePlante (@izobashi) de TrendAI Zero Day Initiative

Model I/O

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service ou potentiellement divulguer le contenu de la mémoire.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2026-28941 : Michael DePlante (@izobashi) de TrendAI Zero Day Initiative

Networking

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant pourrait suivre les utilisateurs par l’entremise de leur adresse IP.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-28906 : Ilya Sc. Jowell A.

Privacy

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure de contourner la journalisation du rapport de confidentialité des apps.

Description : ce problème a été résolu par des vérifications supplémentaires des autorisations.

CVE-2026-28873 : Guy Dor

Quick Look

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : l’analyse d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2026-43656 : Peter Malone

SceneKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inattendu de l’app.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28846 : Peter Malone

Shortcuts

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par l’ajout d’une invite supplémentaire pour le consentement de l’utilisateur.

CVE-2026-28993 : Doron Assness

Siri

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’élever des privilèges.

Description : un problème de logique a été résolu par de meilleures vérifications.

Status Bar

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’effectuer une capture de l’écran d’un utilisateur.

Description : un problème d’accès d’une app aux métadonnées de la caméra a été réglé par une logique améliorée.

CVE-2026-28957 : Adriatik Raci

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement de contenus web malveillants est susceptible d’empêcher l’application de la politique de sécurité du contenu.

Description : le problème a été résolu par une meilleure validation de l’entrée.

CVE-2026-28907 : Cantina

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement de contenus web malveillants est susceptible d’empêcher l’application de la politique de sécurité du contenu.

Description : un problème de validation a été résolu par une meilleure logique.

CVE-2026-43660 : Cantina

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28847 : DARKNAVY (@DarkNavyOrg), Daniel Rhea, anonyme en collaboration avec TrendAI Zero Day Initiative

CVE-2026-28904 : Luka Rački

CVE-2026-28903 : Mateusz Krzywicki (iVerify.io)

CVE-2026-28955 : wac et Kookhwan Lee en collaboration avec TrendAI Zero Day Initiative

CVE-2026-28953 : Maher Azzouzi

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.

Description : ce problème d’accès a été résolu par une amélioration des restrictions d’accès.

CVE-2026-28962 : Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong/kakaogames, greenbynox, Adel Bouachraoui

WebKit

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : le problème a été résolu par une meilleure validation de l’entrée.

CVE-2026-28917 : Vitaly Simonovich

Wi-Fi

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-28819 : Wang Yu

Wi-Fi

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut mener une attaque par déni de service en utilisant des paquets Wi-Fi malveillants.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28994 : Alex Radocea

zlib

Disponible pour : iPhone XS, iPhone XS Max, iPhone XR et iPad 7e génération

Conséquence : la consultation d’un site web malveillant peut entraîner la fuite de données confidentielles.

Description : une fuite d’informations a été résolue par une validation supplémentaire.

CVE-2026-28920 : Brendon Tiszka de Google Project Zero

Remerciements supplémentaires

Kernel

Nous tenons à remercier Ryan Hileman de Xint Code (xint.io) pour son aide.

Location

Nous tenons à remercier Kun Peeks (@SwayZGl1tZyyy) pour son aide.

Managed Configuration

Nous tenons à remercier kado pour son aide.

Messages

Nous tenons à remercier Bishal Kafle pour son aide.

Multi-Touch

Nous tenons à remercier Asaf Cohen pour son aide.