Sobre o conteúdo de segurança do iOS 18.7.9 e iPadOS 18.7.9

Este documento descreve o conteúdo de segurança do iOS 18.7.9 e iPadOS 18.7.9.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

iOS 18.7.9 e iPadOS 18.7.9

Accounts

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28877: Rosyna Keller da Totally Not Malicious Software

APFS

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-28959: Dave G.

App Intents

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app malicioso pode sair de sua área restrita

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) da Reverse Society

Audio

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: o processamento de um fluxo de áudio em um arquivo de mídia criado de forma mal-intencionada pode encerrar o processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-39869: David Ige da Beryllium Security

Calendar

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor remoto podia causar uma negação de serviço

Descrição: um problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor remoto podia causar uma negação de serviço

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28894: pesquisador anônimo

CoreServices

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar um arquivo criado com códigos mal-intencionados pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2026-28936: Andreas Jaegersberger e Ro Achterberg da Nosebeard Labs

FileProvider

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2026-43659: Alex Radocea

GeoServices

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um vazamento de informações foi resolvido por meio de validação adicional.

CVE-2026-28870: XiguaSec

ImageIO

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar um arquivo criado com códigos mal-intencionados pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor pode causar um desligamento inesperado de apps

Descrição: uma vulnerabilidade de memória corrompida foi resolvida por meio de melhorias no bloqueio.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode configurar o layout de memória do kernel

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode divulgar a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: uma imagem de disco criada com códigos maliciosos pode não ser detectado nas verificações do Gatekeeper

Descrição: um desvio de quarentena de arquivo foi resolvido com verificações adicionais.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um usuário local pode conseguir causar o encerramento inesperado do sistema ou ler a memória do kernel

Descrição: um estouro de buffer foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong e Pan Zhenpeng (@Peterpan0927) da STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28952: Calif.io em parceria com Claude e Anthropic Research

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode obter privilégios raiz

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28951: Csaba Fitzl (@theevilbit) da Iru

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28972: Billy Jheng Bing Jhong e Pan Zhenpeng (@Peterpan0927) da STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2026-28986: Tristan Madani (@TristanInSec) da Talence Security, Ryan Hileman via Xint Code (xint.io), Chris Betz

Kernel

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor remoto pode causar uma negação de serviço

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.

CVE-2026-28983: Ruslan Dautov

libxpc

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) do Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: responder a um e-mail poderia exibir imagens remotas no Mail no Modo de Isolamento.

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor na rede local pode causar uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-43653: Atul R V

mDNSResponder

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor remoto pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor na rede local pode causar uma negação de serviço

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: o processamento de uma imagem criada de forma maliciosa pode corromper a memória do processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-28940: Michael DePlante (@izobashi) da Zero Day Initiative da TrendAI

Model I/O

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar um arquivo criado com códigos mal-intencionados pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2026-28941: Michael DePlante (@izobashi) da Zero Day Initiative da TrendAI

Networking

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor pode rastrear os usuários pelo endereço IP

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode contornar o registro do Relatório de Privacidade dos Apps

Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.

CVE-2026-28873: Guy Dor

Quick Look

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar um arquivo criado com códigos mal-intencionados pode causar o encerramento inesperado de apps

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-43656: Peter Malone

SceneKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor remoto pode causar o encerramento inesperado do app

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-28846: Peter Malone

Shortcuts

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.

CVE-2026-28993: Doron Assness

Siri

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode elevar privilégios

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

Status Bar

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode capturar a tela de um usuário

Descrição: um problema no acesso do app aos metadados da câmera foi resolvido por meio de melhorias na lógica.

CVE-2026-28957: Adriatik Raci

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: o problema foi resolvido por meio de melhorias na validação de entrada.

CVE-2026-28907: Cantina

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.

CVE-2026-43660: Cantina

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar conteúdo da web criado com códigos mal-intencionados pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, Anonymous em parceria com a Zero Day Initiative da TrendAI

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac e Kookhwan Lee em parceria com a Zero Day Initiative da TrendAI

CVE-2026-28953: Maher Azzouzi

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode divulgar informações confidenciais do usuário

Descrição: o problema foi resolvido por meio de restrições de acesso aprimoradas.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong/kakaogames, greenbynox, Adel Bouachraoui

WebKit

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: processar conteúdo da web criado com códigos mal-intencionados pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias na validação de entrada.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-28819: Wang Yu

Wi-Fi

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: um invasor em uma posição de rede privilegiada pode executar ataque de negação de serviço usando pacotes Wi-Fi criados com códigos maliciosos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-28994: Alex Radocea

zlib

Disponível para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7ª geração)

Impacto: acessar um site criado com códigos maliciosos pode causar o vazamento de dados confidenciais

Descrição: um vazamento de informações foi resolvido por meio de validação adicional.

CVE-2026-28920: Brendon Tiszka do Google Project Zero

Outros reconhecimentos

Kernel

Gostaríamos de agradecer a Ryan Hileman via Xint Code (xint.io) pela ajuda.

Location

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) pela ajuda.

Managed Configuration

Gostaríamos de agradecer a kado pela ajuda.

Messages

Gostaríamos de agradecer a Bishal Kafle pela ajuda.

Multi-Touch

Gostaríamos de agradecer a Asaf Cohen pela ajuda.