Sobre o conteúdo de segurança do iOS 18.7.7 e iPadOS 18.7.7

Sobre o conteúdo de segurança do iOS 18.7.7 e iPadOS 18.7.7.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

iOS 18.7.7 e iPadOS 18.7.7

802.1X

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de rede

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

AppleKeyStore

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-20637: Johnny Franks (zeroxjf), um pesquisador anônimo

Audio

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-28879: Justin Cohen do Google

Clipboard

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: o processamento de um fluxo de áudio em um arquivo de mídia criado de forma mal-intencionada pode resultar no encerramento do processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-20690: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreUtils

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um usuário em uma posição de rede privilegiada poderia ser capaz de causar uma negação de serviço

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.

CVE-2026-28878: Zhongcheng Li da IES Red Team

curl

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: havia um problema no curl que pode resultar no envio não intencional de informações confidenciais por meio de uma conexão incorreta

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-14524

DeviceLink

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de análise no processamento de caminhos de diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2026-28876: Andreas Jaegersberger e Ro Achterberg da Nosebeard Labs

Focus

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2026-28880: Zhongcheng Li da IES Red Team

ImageIO

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-64505

iTunes Store

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um usuário com acesso físico a um dispositivo iOS pode ser capaz de conseguir contornar o Bloqueio de Ativação

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2025-43534: iG0x72 e JJ da XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode divulgar a memória do kernel

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2026-28868: 이동하 (Lee Dong Ha da BoB 0xB6)

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: esse problema foi resolvido por meio de melhorias na autenticação.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: esse problema foi resolvido por meio de melhorias na autenticação.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor local pode obter acesso a itens das chaves do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações de permissões.

CVE-2026-28864: Alex Radocea

UIFoundation

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um estouro de pilha foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28852: Caspian Tarafdar

Vision

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar um arquivo criado com códigos mal-intencionados pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20657: Andrew Becker

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20665: webb

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode ignorar a Política de Mesma Origem

Descrição: um problema de origem cruzada na API Navigation foi resolvido com a validação aprimorada de entrada.

CVE-2026-20643: Thomas Espach

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor remoto pode visualizar consultas DNS vazadas com a Retransmissão Privada ativada

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-43376: Mike Cardwell da grepular.com, Bob Lord

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um site malicioso pode ser capaz de acessar manipuladores de mensagens de script destinados a outras origens

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28861: Hongze Wu e Shuaike Dong da Ant Group Infrastructure Security Team

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2026-28871: @hamayanhamayan

Outros reconhecimentos

Safari

Gostaríamos de agradecer a @RenwaX23 pela ajuda.