Informacije o sigurnosnom sadržaju sustava iOS 18.7.9 i iPadOS 18.7.9

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18.7.9 i iPadOS 18.7.9.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18.7.9 i iPadOS 18.7.9

Accounts

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28877: Rosyna Keller, Totally Not Malicious Software

APFS

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28959: Dave G.

App Intents

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: zlonamjerna aplikacija mogla bi izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) za Reverse Society

Audio

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obrada zvučnog streama u zlonamjernoj medijskoj datoteci mogla je prekinuti izvršavanje procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-39869: David Ige (Beryllium Security)

Calendar

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28894: anonimni istraživač

CoreServices

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28936: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

FileProvider

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-43659: Alex Radocea

GeoServices

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28870: XiguaSec

ImageIO

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla odrediti raspored elemenata kernelske memorije

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: zlonamjerno stvorena slika diska mogla bi zaobići provjere alata Gatekeeper

Opis: zaobilaženje stavljanja datoteke u karantenu riješeno je dodatnim provjerama.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: prekoračenje međuspremnika riješeno je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd., Aswin kumar Gokulakannan

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28952: Calif.io u suradnji s tvrtkama Claude i Anthropic Research

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28951: Csaba Fitzl (@theevilbit) of Iru

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28986: Tristan Madani (@TristanInSec) iz tvrtke Talence Security, Ryan Hileman putem Xint Code (xint.io), Chris Betz

Kernel

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2026-28983: Ruslan Dautov

libxpc

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) (Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: odgovaranjem na e-mail poruku mogu se prikazati udaljene slike u aplikaciji Mail u modu zaključavanja

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43653: Atul R V

mDNSResponder

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28940: Michael DePlante (@izobashi) iz inicijative Zero Day (TrendAI)

Model I/O

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28941: Michael DePlante (@izobashi) iz inicijative Zero Day (TrendAI)

Networking

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: napadač bi mogao pratiti korisnike preko njihovih IP adresa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla zaobići bilježenje u Izvješće o privatnosti aplikacije

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2026-28873: Guy Dor

Quick Look

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-43656: Peter Malone

SceneKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: udaljeni napadač mogao bi uzrokovati neočekivani pad aplikacije

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28846: Peter Malone

Shortcuts

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2026-28993: Doron Assness

Siri

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

Status Bar

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neke bi aplikacije mogle snimiti zaslon korisnika

Opis: problem s pristupom aplikacije metapodacima kamere riješen je poboljšanom logikom.

CVE-2026-28957: Adriatik Raci

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2026-28907: Cantina

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2026-43660: Cantina

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, anonimni istraživač u suradnji s inicijativom Zero Day Initiative (TrendAI)

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac i Kookhwan Lee u suradnji s inicijativom Zero Day Initiative (TrendAI)

CVE-2026-28953: Maher Azzouzi

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka

Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-28819: Wang Yu

Wi-Fi

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: napadač na povlaštenom mrežnom položaju možda će moći izvršiti napad uskraćivanja usluge koristeći zlonamjerne Wi-Fi pakete

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28994: Alex Radocea

zlib

Dostupno za: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacije

Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Dodatna zahvala

Kernel

Na pomoći zahvaljujemo Ryanu Hilemanu putem Xint Code (xint.io).

Location

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).

Managed Configuration

Na pomoći zahvaljujemo tvrtki kado.

Messages

Na pomoći zahvaljujemo Bishalu Kafleu.

Multi-Touch

Na pomoći zahvaljujemo Asafu Cohenu.