Despre conținutul de securitate din iOS 18.7.9 și iPadOS 18.7.9

Acest document descrie conținutul de securitate din iOS 18.7.9 și din iPadOS 18.7.9.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 18.7.9 și iPadOS 18.7.9

Accounts

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-28877: Rosyna Keller de la Totally Not Malicious Software

APFS

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28959: Dave G.

App Intents

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație rău-intenționată poate evada din sandbox

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) pentru Reverse Society

Audio

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unui flux audio într-un fișier media creat cu rea intenție poate duce la încetarea procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-39869: David Ige de la Beryllium Security

Calendar

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: a fost rezolvată o problemă de epuizare a memoriei prin îmbunătățirea validării intrării.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării intrării.

CVE-2026-28894: un cercetător anonim

CoreServices

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2026-28936: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

FileProvider

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2026-43659: Alex Radocea

GeoServices

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o scurgere de informații a fost remediată prin validare suplimentare.

CVE-2026-28870: XiguaSec

ImageIO

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate determina aspectul memoriei kernel

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o imagine de disc creată cu rea intenție poate ocoli verificările Gatekeeper

Descriere: o ocolire a carantinei fișierelor a fost rezolvată prin verificări suplimentare.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: a fost rezolvată o problemă de depășire a memorie tampon alocate prin îmbunătățirea validării intrării.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2026-28952: Calif.io în colaborare cu Claude și Anthropic Research

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-28951: Csaba Fitzl (@theevilbit) de la Iru

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2026-28972: Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Ryan Hileman prin intermediul Xint Code (xint.io)

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2026-28986: Tristan Madani (@TristanInSec) de la Talence Security, Ryan Hileman prin intermediul Xint Code (xint.io), Chris Betz

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator la distanță poate provoca un refuz al serviciului

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2026-28983: Ruslan Dautov

libxpc

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) de la Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: răspunsul la un e-mail ar putea afișa imagini la distanță în Mail în modul Izolare

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-43653: Atul R V

mDNSResponder

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-28940: Michael DePlante (@izobashi) de la TrendAI Zero Day Initiative

Model I/O

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2026-28941: Michael DePlante (@izobashi) de la TrendAI Zero Day Initiative

Networking

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator poate urmări utilizatori prin intermediul adreselor lor IP

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-28906: Ilya Sc. Jowell A.

Confidențialitate

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: O aplicație ar putea reuși să ocolească înregistrarea rapoartelor de confidențialitate a aplicațiilor.

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2026-28873: Guy Dor

Quick Look

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: Analizarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2026-43656: Peter Malone

SceneKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a aplicației

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28846: Peter Malone

Shortcuts

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.

CVE-2026-28993: Doron Assness

Siri

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

Status Bar

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate captura ecranul unui utilizator

Descriere: a fost rezolvată o problemă legată de accesul aplicației la metadatele camerei printr-o logică îmbunătățită.

CVE-2026-28957: Adriatik Raci

WebKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

CVE-2026-28907: Cantina

WebKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2026-43660: Cantina

WebKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, anonim în colaborare cu TrendAI Zero Day Initiative

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac și Kookhwan Lee în colaborare cu TrendAI Zero Day Initiative

CVE-2026-28953: Maher Azzouzi

WebKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului

Descriere: această problemă a fost remediată prin restricții suplimentare pentru acces.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-28819: Wang Yu

Wi-Fi

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator cu o poziție privilegiată în rețea ar putea să lanseze un atac de refuz al serviciului folosind pachete Wi-Fi create

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28994: Alex Radocea

zlib

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: accesarea unui site web rău intenționat poate cauza scurgeri de date sensibile

Descriere: o scurgere de informații a fost remediată prin validare suplimentare.

CVE-2026-28920: Brendon Tiszka de la Google Project Zero

Alte mențiuni

Kernel

Dorim să îi mulțumim lui Ryan Hileman de la Xint Code (xint.io) pentru asistența acordată.

Localizare

Dorim să îi mulțumim lui Kun Peeks (@SwayZGl1tZyyy) pentru asistența acordată.

Managed Configuration

Dorim să-i mulțumim lui kado pentru asistența acordată.

Messages

Dorim să îi mulțumim lui Bishal Kafle pentru asistența acordată.

Multi-Touch

Dorim să îi mulțumim lui Asaf Cohen pentru asistența acordată.