Az iOS 18.7.5 és az iPadOS 18.7.5 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.7.5 és az iPadOS 18.7.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.7.5 és iPadOS 18.7.5

Accessibility

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2026-20645: Loh Boon Keat

Books

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou és Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y és Ricardo Garcia, Dorian Del Valle

CFNetwork

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A távoli felhasználók írni tudtak tetszőleges fájlokat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20660: Amy (amys.website)

CoreAudio

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20611: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20634: George Karchemsky (@gkarchemsky) a Trend Micro Zero Day Initiative közreműködőjeként

ImageIO

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-20675: George Karchemsky (@gkarchemsky) a Trend Micro Zero Day Initiative közreműködőjeként

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: A naplózás megtisztításával orvosoltuk a problémát.

CVE-2026-20663: Zhongcheng Li (IES Red Team)

libexpat

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egy rosszindulatú célból létrehozott fájl feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-59375

libnetcore

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Live Captions

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20655: Richard Hyunho Im (@richeeta), itt: Route Zero Security (routezero.security)

Mail

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A „Távoli tartalom betöltése az üzenetekben” funkció kikapcsolásakor a művelet nem érvényesült az összes e-mail-előnézet esetén.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-20673: anonim kutató

Messages

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A parancsikonok bizonyos esetekben meg tudták kerülni a sandbox korlátozásait.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével megoldottuk a versenyhelyzetet.

CVE-2026-20677: Ron Masas (BreakPoint.SH)

Model I/O

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott USD-fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-20616: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Multi-Touch

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egy rosszindulatú HID-eszköz váratlan folyamatösszeomlást okozhatott

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2025-43533: Google Threat Analysis Group

CVE-2025-46300: Google Threat Analysis Group

CVE-2025-46301: Google Threat Analysis Group

CVE-2025-46302: Google Threat Analysis Group

CVE-2025-46303: Google Threat Analysis Group

CVE-2025-46304: Google Threat Analysis Group

CVE-2025-46305: Google Threat Analysis Group

Safari

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Bizonyos alkalmazások hozzá tudtak férni a felhasználó Safari-előzményeihez.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A támadók bizonyos esetekben felfedezhették a felhasználó törölt jegyzeteit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2026-20680: anonim kutató

StoreKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2026-20606: LeminLimez

Voice Control

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egy app bizonyos helyzetekben összeomlást tudott okozni a rendszerfolyamatokban.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20605: @cloudlldb (@pixiepointsec)

VoiceOver

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20661: Dalibor Milanovic

WebKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20608: HanQing (TSDubhe) és Nan Wang (@eternalsakura13)

WebKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20644: HanQing (TSDubhe) és Nan Wang (@eternalsakura13)

CVE-2026-20635: EntryHi

Wi-Fi

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20621: Wang Yu (Cyberserval)

További köszönetnyilvánítás

ImageIO

Köszönjük a Trend Micro Zero Day Initiative-vel együttműködő George Karchemsky (@gkarchemsky) segítségét.

Kernel

Köszönjük Xinru Chi (Pangu Lab) segítségét.

libpthread

Köszönjük Fabiano Anemone segítségét.

WebKit

Köszönjük EntryHi, Stanislav Fort (Aisle Research), Vsevolod Kokorin (Slonser, Solidlab) és Jorian Woltjer segítségét.