Informacije o sigurnosnom sadržaju sustava iOS 18.7.7 i iPadOS 18.7.7

Informacije o sigurnosnom sadržaju sustava iOS 18.7.7 i iPadOS 18.7.7.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18.7.7 i iPadOS 18.7.7

802.1X

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28865: Héloïse Gollier i Mathy Vanhoef (KU Leuven)

AppleKeyStore

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-20637: Johnny Franks (zeroxjf), anonimni istraživač

Audio

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28879: Justin Cohen (Google)

Clipboard

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obradom zvučnog streama u zlonamjernoj medijskoj datoteci može prekinuti izvršavanje procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-20690: Hossein Lotfi (@hosselot), Zero Day Initiative (Trend Micro)

CoreUtils

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2026-28886: Etienne Charron (Renault) i Victoria Martini (Renault)

Crash Reporter

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: u alatu curl postojao je problem koji je mogao dovesti do nenamjernog slanja osjetljivih podataka putem pogrešne veze

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-14524

DeviceLink

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2026-28876: Andreas Jaegersbergeri Ro Achterberg, Nosebeard Labs

Focus

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

ImageIO

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-64505

iTunes Store

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: korisnik s fizičkim pristupom uređaju sa sustavom iOS mogao bi moći zaobići zaključavanje aktivacije

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2025-43534: iG0x72 i JJ (XiguaSec), Lehan Dilusha Jayasinghe

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: ovaj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: ovaj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: lokalni napadač mogao je dobiti pristup korisnikovim stavkama privjeska ključeva

Opis: problem je riješen boljom provjerom dozvola.

CVE-2026-28864: Alex Radocea

UIFoundation

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28852: Caspian Tarafdar

Vision

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20657: Andrew Becker

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-20665: webb

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obradom zlonamjernog web-sadržaja može se zaobići pravilo istog podrijetla

Opis: problem više izvora u API-ju za navigaciju riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-20643: Thomas Espach

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: udaljeni napadač može vidjeti DNS upite koji su procurili uz uključenu opciju Privatni relej

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43376: Mike Cardwell (grepular.com), Bob Lord

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: zlonamjerno web-mjesto moglo bi moći pristupiti rukovateljima poruka skripte namijenjenima za druge izvore

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28861: Hongze Wu i Shuaike Dong (tim za sigurnost infrastrukture grupacije Ant Group)

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem na više web-mjesta

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2026-28871: @hamayanhamayan

Dodatna zahvala

Safari

Na pomoći zahvaljujemo korisniku @RenwaX23.