Over de beveiligingsinhoud van iOS 18.7.9 en iPadOS 18.7.9

In dit document wordt de beveiligingsinhoud van iOS 18.7.9 en iPadOS 18.7.9 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18.7.9 en iPadOS 18.7.9

Accounts

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-28877: Rosyna Keller van Totally Not Malicious Software

APFS

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28959: Dave G.

App Intents

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een kwaadaardige app kan buiten zijn sandbox komen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) voor Reverse Society

Audio

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een audiostream in een kwaadwillig vervaardigd mediabestand kan leiden tot het beëindigen van het proces

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-39869: David Ige van Beryllium Security

Calendar

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: er is een probleem met overmatig gebruik van resources aangepakt door verbeterde invoervalidatie.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: een denial-of-service-probleem is verholpen door verbeterde invoervalidatie.

CVE-2026-28894: een anonieme onderzoeker

CoreServices

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

FileProvider

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-43659: Alex Radocea

GeoServices

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2026-28870: XiguaSec

ImageIO

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan de indeling van het kernelgeheugen bepalen

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een kwaadwillig vervaardigde schijfkopie kan Gatekeeper-controles omzeilen

Beschrijving: het omzeilen van het in quarantaine plaatsen van bestanden is verholpen door verbeterde controles.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een bufferoverloop is verholpen door verbeterde invoervalidatie.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2026-28952: Calif.io in samenwerking met Claude en Anthropic Research

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-28951: Csaba Fitzl (@theevilbit) van Iru

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2026-28972: Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-28986: Tristan Madani (@TristanInSec) van Talence Security, Ryan Hileman via Xint Code (xint.io), Chris Betz

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

CVE-2026-28983: Ruslan Dautov

libxpc

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) van Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een email beantwoorden kan afbeeldingen op afstand weergeven in Mail in de vergrendelingsmodus

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43653: Atul R V

mDNSResponder

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28940: Michael DePlante (@izobashi) van TrendAI Zero Day Initiative

Model I/O

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service of kan geheugeninhoud vrijgeven

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2026-28941: Michael DePlante (@izobashi) van TrendAI Zero Day Initiative

Networking

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een kwaadwillende kan gebruikers mogelijk volgen via hun IP-adres

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk registratie in het rapport over privacy van apps omzeilen

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2026-28873: Guy Dor

Quick Look

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het parsen van een kwaadwillige vervaardigd bestand kan leiden tot de onverwachte beëindiging van apps

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2026-43656: Peter Malone

SceneKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een externe aanvaller kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28846: Peter Malone

Shortcuts

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een extra melding toe te voegen waarin de gebruiker om toestemming gevraagd wordt.

CVE-2026-28993: Doron Assness

Siri

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk bevoegdheden verhogen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

Status Bar

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan het scherm van een gebruiker vastleggen

Beschrijving: een probleem met de toegang van apps tot de metagegevens van de camera is opgelost door verbeterde logica.

CVE-2026-28957: Adriatik Raci

WebKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2026-28907: Cantina

WebKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2026-43660: Cantina

WebKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, anoniem in samenwerking met TrendAI Zero Day Initiative

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac en Kookhwan Lee in samenwerking met TrendAI Zero Day Initiative

CVE-2026-28953: Maher Azzouzi

WebKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: dit probleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-28819: Wang Yu

Wi-Fi

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een denial-of-service-aanval opzetten met behulp van kwaadwillig vervaardigde wifipakketten

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-28994: Alex Radocea

zlib

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2026-28920: Brendon Tiszka van Google Project Zero

Aanvullende erkenning

Kernel

Met dank aan Ryan Hileman via Xint Code (xint.io) voor de hulp.

Location

Met dank aan Kun Peeks (@SwayZGl1tZyyy) voor de hulp.

Managed Configuration

Met dank aan kado voor de hulp.

Messages

Met dank aan Bishal Kafle voor de hulp.

Multi-Touch

Met dank aan Asaf Cohen voor de hulp.