מידע על תוכן האבטחה של iOS 18.7.9 ושל iPadOS 18.7.9

מסמך זה מתאר את תוכן האבטחה של iOS 18.7.9 ו-iPadOS 18.7.9.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

iOS 18.7.9 ו-iPadOS 18.7.9

Accounts

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28877: ‏Rosyna Keller מ-Totally Not Malicious Software

APFS

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28959‏: Dave G.‎

App Intents

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2026-28995‏: Vamshi Paili‏, Tony Gorez ‏(‎@tonygo_‎) מטעם Reverse Society

Audio

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול להביא לסיום התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-39869‏: David Ige מ-Beryllium Security

Calendar

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה של מיצוי משאבים טופלה באמצעות אימות קלט משופר.

CVE-2026-28872‏: Alvin Aries Tapia

Calling Framework

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2026-28894: חוקר אנונימי

CoreServices

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2026-28936: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

FileProvider

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-43659:‏ Alex Radocea

GeoServices

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: דליפת מידע טופלה עם אימות נוסף.

CVE-2026-28870:‏ XiguaSec

ImageIO

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2026-28977‏: Suresh Sundaram

IOHIDFamily

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.

CVE-2026-28992:‏ Johnny Franks‏ (‎@zeroxjf)

IOHIDFamily

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: אפליקציה עשויה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28943: ‏Google Threat Analysis Group

IOKit

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-28969‏: Mihalis Haatainen‏, Ari Hawking‏, Ashish Kunwar

Kernel

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-43654‏: Vaagn Vardanian‏, Nathaniel Oh ‏(‎@calysteon)

Kernel

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: דמות כונן בעלת מבנה זדוני עלולה לעקוף את הבדיקות של Gatekeeper

תיאור: מעקף של הסגר קבצים טופל באמצעות בדיקות נוספות.

CVE-2026-28954: ‏Yiğit Can YILMAZ ‏(‎@yilmazcanyigit)

Kernel

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה

תיאור: גלישת חוצץ טופלה ואימות הקלט שופר.

CVE-2026-28897‏: Robert Tran‏, popku1337‏, Billy Jheng Bing Jhong ו-Pan Zhenpeng ‏(‎@Peterpan0927) מ-STAR Labs SG Pte. Ltd.‎‏, Aswin kumar Gokulakannan

Kernel

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2026-28952: ‏Calif.io בשיתוף פעולה עם Claude ו-Anthropic Research

Kernel

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28951: ‏Csaba Fitzl ‏(‎@theevilbit) מ-Iru

Kernel

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2026-28972‏: Billy Jheng Bing Jhong ו-Pan Zhenpeng ‏(‎@Peterpan0927) מ-STAR Labs SG Pte. Ltd.‎, ‏Ryan Hileman דרך Xint Code (‏xint.io)

Kernel

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-28986‏: Tristan Madani ‏(‎@TristanInSec) מ-Talence Security‏, Ryan Hileman דרך Xint Code ‏(xint.io)‏, Chris Betz

Kernel

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28987‏: Dhiyanesh Selvaraj ‏(‎@redroot97)

LaunchServices

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2026-28983‏: Ruslan Dautov

libxpc

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2026-28882‏: Ilya Andr (‏andrd3v), ‏Ilias Morad ‏(A2nkF) מ-Voynich Group‏, Duy Trần ‏(‎@khanhduytran0)‏, ‎@hugeBlack

Mail Drafts

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: מענה לדוא"ל עלול לגרום להצגת תמונות מרוחקות ב'דואר' ב'מצב נעילה'

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2026-28929: ‏Yiğit Can YILMAZ ‏(‎@yilmazcanyigit)

mDNSResponder

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-43653‏: Atul R V

mDNSResponder

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-43668‏: Ricardo Prado‏, Anton Pakhunov

mDNSResponder

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-43666‏: Ian van der Wurff ‏(ian.nl)

Model I/O

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28940‏: Michael DePlante ‏(‎@izobashi) מ-TrendAI Zero Day Initiative

Model I/O

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2026-28941‏: Michael DePlante ‏(‎@izobashi) מ-TrendAI Zero Day Initiative

Networking

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: ייתכן שתוקף יוכל לעקוב אחר משתמשים באמצעות כתובת ה-IP שלהם

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28906‏: Ilya Sc.‎ Jowell A.‎

Privacy

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח לעקוף רישום ב'דו"ח פרטיות היישום'

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2026-28873‏: Guy Dor

Quick Look

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2026-43656‏: Peter Malone

SceneKit

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28846‏: Peter Malone

Shortcuts

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2026-28993‏: Doron Assness

Siri

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

Status Bar

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: ייתכן שאפליקציה תוכל לצלם מסך של משתמש

תיאור: בעיה בגישה של אפליקציה למטא-נתונים של המצלמה טופלה בעזרת לוגיקה משופרת.

CVE-2026-28957‏: Adriatik Raci

WebKit

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

CVE-2026-28907‏: Cantina

WebKit

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2026-43660‏: Cantina

WebKit

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28847‏: DARKNAVY ‏(‎@DarkNavyOrg), ‏Daniel Rhea, אנונימי בעבודה עם TrendAI Zero Day Initiative

CVE-2026-28904‏: Luka Rački

CVE-2026-28903‏: Mateusz Krzywicki ‏(iVerify.io)

CVE-2026-28955:‏ wac ו-Kookhwan Lee בעבודה עם TrendAI Zero Day Initiative

CVE-2026-28953‏: Maher Azzouzi

WebKit

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לגילוי מידע רגיש של משתמשים

תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.

CVE-2026-28962‏: Vitaly Simonovich‏, Vaagn Vardanian‏, Luke Francis‏, kwak kiyong / ‏kakaogames‏, greenbynox‏, Adel Bouachraoui

WebKit

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

CVE-2026-28917‏: Vitaly Simonovich

Wi-Fi

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-28819‏: Wang Yu

Wi-Fi

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות רשת אלחוטית שהורכבו במיוחד

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-28994‏: Alex Radocea

zlib‏

זמין עבור: iPhone XS, ‏iPhone XS Max, ‏iPhone XR, ‏iPad דור 7

השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים

תיאור: דליפת מידע טופלה עם אימות נוסף.

CVE-2026-28920: ‏Brendon Tiszka מ-Google Project Zero

תודות נוספות

Kernel

אנחנו מבקשים להודות ל-Ryan Hileman דרך Xint Code (‏xint.io) על הסיוע.

Location

אנחנו מבקשים להודות ל-Kun Peeks ‏(‎@SwayZGl1tZyyy) על הסיוע.

Managed Configuration

אנחנו מבקשים להודות ל-kado על הסיוע.

Messages

אנחנו מבקשים להודות ל-Bishal Kafle על הסיוע.

Multi-Touch

אנחנו מבקשים להודות ל-Asaf Cohen על הסיוע.