Om sikkerhetsinnholdet i iOS 18.7.9 og iPadOS 18.7.9

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 18.7.9 og iPadOS 18.7.9.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iOS 18.7.9 og iPadOS 18.7.9

Accounts

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28877: Rosyna Keller fra Totally Not Malicious Software

APFS

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28959: Dave G.

App Intents

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En skadelig app kan være i stand til å bryte ut av sandkassen sin

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) for Reverse Society

Audio

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av en lydstrøm i en ondsinnet mediefil kan avslutte prosessen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-39869: David Ige fra Beryllium Security

Calendar

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret inndatavalidering.

CVE-2026-28894: en anonym forsker

CoreServices

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28936: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

FileProvider

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2026-43659: Alex Radocea

GeoServices

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2026-28870: XiguaSec

ImageIO

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan være i stand til å fastslå kjerneminnets oppsett

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En skadelig diskfil kan omgå Gatekeeper-kontroller

Beskrivelse: En omgåelse av filkarantene ble løst gjennom ytterligere kontroller.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminnet

Beskrivelse: En bufferoverskridelse ble løst med bedre validering av inndata.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2026-28952: Calif.io i samarbeid med Claude og Anthropic Research

Kernel

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan få rotrettigheter

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28951: Csaba Fitzl (@theevilbit) hos Iru

Kernel

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2026-28972: Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2026-28986: Tristan Madani (@TristanInSec) fra Talence Security, Ryan Hileman via Xint Code (xint.io), Chris Betz

Kernel

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2026-28983: Ruslan Dautov

libxpc

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) fra Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Ved svar på en e-post kan eksterne bilder vises i Mail i Sikringsmodus

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-43653: Atul R V

mDNSResponder

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av et skadelig bilde kan skade prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-28940: Michael DePlante (@izobashi) fra TrendAI Zero Day Initiative

Model I/O

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28941: Michael DePlante (@izobashi) fra TrendAI Zero Day Initiative

Networking

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En angriper kan være i stand til å spore brukere via IP-adressen deres

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan omgå logging av personvernrapport for app

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2026-28873: Guy Dor

Quick Look

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Analyse av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2026-43656: Peter Malone

SceneKit

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28846: Peter Malone

Shortcuts

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.

CVE-2026-28993: Doron Assness

Siri

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan utvide rettigheter

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

Status Bar

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan ta bilde av en brukers skjerm

Beskrivelse: Et problem med apptilgang til kamerametadata ble løst gjennom forbedret logikk.

CVE-2026-28957: Adriatik Raci

WebKit

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

CVE-2026-28907: Cantina

WebKit

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

CVE-2026-43660: Cantina

WebKit

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, Anonymous i samarbeid med TrendAI Zero Day Initiative

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac og Kookhwan Lee i samarbeid med TrendAI Zero Day Initiative

CVE-2026-28953: Maher Azzouzi

WebKit

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede tilgangsrestriksjoner.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28819: Wang Yu

Wi-Fi

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å utføre et tjenestenektangrep ved hjelp av wifi-pakker

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-28994: Alex Radocea

zlib

Tilgjengelig for: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generasjon)

Virkning: Besøk på et skadelig nettsted kan lekke sensitive opplysninger

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2026-28920: Brendon Tiszka fra Google Project Zero

Ytterligere anerkjennelser

Kernel

Vi vil gjerne takke Ryan Hileman via Xint Code (xint.io) for hjelpen.

Location

Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) for hjelpen.

Managed Configuration

Vi vil gjerne takke kado for hjelpen.

Messages

Vi vil gjerne takke Bishal Kafle for hjelpen.

Multi-Touch

Vi vil gjerne takke Asaf Cohen for hjelpen.