Despre conținutul de securitate din iOS 18.7.5 și iPadOS 18.7.5

Acest document descrie conținutul de securitate din iOS 18.7.5 și iPadOS 18.7.5.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 18.7.5 și iPadOS 18.7.5

Accessibility

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2026-20645: Loh Boon Keat

Books

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: restaurarea unui fișier backup creat cu rea intenție poate cauza modificarea fișierelor de sistem protejate

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou și Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y și Ricardo Garcia, Dorian Del Valle

CFNetwork

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un utilizator local poate scrie fișiere arbitrare

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea logicii.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-20611: anonim în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20634: George Karchemsky (@gkarchemsky) în colaborare cu Trend Micro Zero Day Initiative

ImageIO

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2026-20675: George Karchemsky (@gkarchemsky) în colaborare cu Trend Micro Zero Day Initiative

Kernel

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea intercepta traficul de rețea

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: problema a fost rezolvată prin curățarea înregistrărilor.

CVE-2026-20663: Zhongcheng Li de la IES Red Team

libexpat

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-59375

libnetcore

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea intercepta traficul de rețea

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Subtitrări live

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-20655: Richard Hyunho Im (@richeeta) de la Route Zero Security (routezero.security)

Mail

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: este posibil ca dezactivarea funcției „Încarcă în mesaje conținutul extern” să nu se aplice tuturor previzualizărilor pentru e-mailuri

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-20673: un cercetător anonim

Messages

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o scurtătură poate ocoli restricțiile sandboxului

Descriere: o condiție de rasă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2026-20677: Ron Masas of BreakPoint.SH

Model I/O

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-20616: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Multi-Touch

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un dispozitiv HID rău intenționat poate provoca o blocare neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2025-43533: Google Threat Analysis Group

CVE-2025-46300: Google Threat Analysis Group

CVE-2025-46301: Google Threat Analysis Group

CVE-2025-46302: Google Threat Analysis Group

CVE-2025-46303: Google Threat Analysis Group

CVE-2025-46304: Google Threat Analysis Group

CVE-2025-46305: Google Threat Analysis Group

Safari

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate accesa istoricul Safari al unui utilizator

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator ar putea descoperi notițele șterse ale unui utilizator

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: O aplicație care rulează în sandbox ar putea accesa date sensibile despre utilizatori

Descriere: problema a fost rezolvată prin restricții suplimentare privind observabilitatea stărilor aplicațiilor.

CVE-2026-20680: un cercetător anonim

StoreKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate identifica ce alte aplicații a instalat utilizatorul

Descriere: o problemă de confidențialitate a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2026-20606: LeminLimez

Voice Control

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație ar putea declanșa o oprire subită a procesului de sistem

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20605: @cloudlldb de la @pixiepointsec

VoiceOver

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-20661: Dalibor Milanovic

WebKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-20608: HanQing de la TSDubhe și Nan Wang (@eternalsakura13)

WebKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20644: HanQing de la TSDubhe și Nan Wang (@eternalsakura13)

CVE-2026-20635: EntryHi

Wi-Fi

Disponibilitate pentru: iPhone XS, iPhone XS Max, iPhone XR, iPad (a 7-a generație)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20621: Wang Yu de la Cyberserval

Alte mențiuni

ImageIO

Dorim să-i mulțumim lui George Karchemsky (@gkarchemsky) în colaborare cu Trend Micro Zero Day Initiative pentru asistența acordată.

Kernel

Dorim să-i mulțumim lui Xinru Chi de la Pangu Lab pentru asistența acordată.

libpthread

Dorim să-i mulțumim lui Fabiano Anemone pentru asistența acordată.

WebKit

Dorim să le mulțumim lui EntryHi, Stanislav Fort de la Aisle Research, Vsevolod Kokorin (Slonser) de la Solidlab și Jorian Woltjer pentru asistența acordată.