Zawartość związana z zabezpieczeniami w systemach iOS 18.7.9 i iPadOS 18.7.9

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 18.7.9 i iPadOS 18.7.9.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 18.7.9 i iPadOS 18.7.9

Accounts

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28877: Rosyna Keller z Totally Not Malicious Software

APFS

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28959: Dave G.

App Intents

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: Złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) dla Reverse Society

Audio

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: Przetworzenie strumienia audio w złośliwie spreparowanym pliku multimedialnym może spowodować zakończenie procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-39869: David Ige z Beryllium Security

Calendar

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd powodujący wyczerpanie pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28894: anonimowy badacz

CoreServices

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2026-28936: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

FileProvider

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2026-43659: Alex Radocea

GeoServices

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: wyciek informacji został rozwiązany poprzez wprowadzenie dodatkowej weryfikacji.

CVE-2026-28870: XiguaSec

ImageIO

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: złośliwie spreparowany obraz dysku może ominąć kontrole funkcji Gatekeeper.

Opis: naprawiono błąd dotyczący pomijania kwarantanny plików przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28952: Calif.io we współpracy z Claude i Anthropic Research

Kernel

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28951: Csaba Fitzl (@theevilbit) z Iru

Kernel

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd., Ryan Hileman za pośrednictwem Xint Code (xint.io)

Kernel

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2026-28986: Tristan Madani (@TristanInSec) z Talence Security, Ryan Hileman via Xint Code (xint.io), Chris Betz

Kernel

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2026-28983: Ruslan Dautov

libxpc

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) z Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: udzielenie odpowiedzi na wiadomość e‑mail może spowodować wyświetlanie obrazów zdalnych w aplikacji Poczta w trybie blokady.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-43653: Atul R V

mDNSResponder

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do uszkodzenia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-28940: Michael DePlante (@izobashi) z TrendAI Zero Day Initiative

Model I/O

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2026-28941: Michael DePlante (@izobashi) z TrendAI Zero Day Initiative

Networking

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca może być w stanie śledzić użytkowników za pomocą ich adresów IP.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie obejść rejestrowanie raportu prywatności aplikacji.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2026-28873: Guy Dor

Quick Look

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: analizowanie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-43656: Peter Malone

SceneKit

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: zdalna osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28846: Peter Malone

Shortcuts

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd rozwiązano przez wprowadzenie dodatkowego monitu o zgodę użytkownika.

CVE-2026-28993: Doron Assness

Siri

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

Status Bar

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie przechwycić ekran użytkownika.

Opis: naprawiono błąd z dostępem aplikacji do metadanych aparatu przez poprawienie procedur obsługi procesów logicznych.

CVE-2026-28957: Adriatik Raci

WebKit

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28907: Cantina

WebKit

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2026-43660: Cantina

WebKit

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, Anonymous w ramach programu TrendAI Zero Day Initiative

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac i Kookhwan Lee w ramach programu TrendAI Zero Day Initiative

CVE-2026-28953: Maher Azzouzi

WebKit

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28819: Wang Yu

Wi-Fi

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie przeprowadzić atak typu „odmowa usługi” z użyciem spreparowanych pakietów Wi‑Fi.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-28994: Alex Radocea

zlib

Dostępne dla: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. generacji

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.

Opis: wyciek informacji został rozwiązany poprzez wprowadzenie dodatkowej weryfikacji.

CVE-2026-28920: Brendon Tiszka z Google Project Zero

Dodatkowe podziękowania

Kernel

Dziękujemy za udzieloną pomoc: Ryan Hileman przez Xint Code (xint.io).

Położenie

Dziękujemy za udzieloną pomoc: Kun Peeks (@SwayZGl1tZyyy).

Managed Configuration

Dziękujemy za udzieloną pomoc: kado.

Messages

Dziękujemy za udzieloną pomoc: Bishal Kafle.

Multi-Touch

Dziękujemy za udzieloną pomoc: Asaf Cohen.