Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 18.7.7 и iPadOS 18.7.7

Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 18.7.7 и iPadOS 18.7.7.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iOS 18.7.7 и iPadOS 18.7.7

802.1X

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать сетевой трафик.

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2026-28865: Héloïse Gollier и Mathy Vanhoef (KU Leuven)

AppleKeyStore

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-20637: Johnny Franks (zeroxjf), анонимный исследователь

Audio

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28879: Justin Cohen из Google

Clipboard

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-20690: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

CoreUtils

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Пользователь с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.

CVE-2026-28886: Etienne Charron (Renault) и Victoria Martini (Renault)

Crash Reporter

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2026-28878: Zhongcheng Li из отдела IES Red

curl

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Обнаружена проблема в curl, которая может привести к случайной отправке конфиденциальных данных по неправильному подключению.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-14524

DeviceLink

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2026-28876: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

Focus

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-28880: Zhongcheng Li из отдела IES Red

ImageIO

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-64505

iTunes Store

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Пользователь с физическим доступом к устройству iOS может обойти функцию «Блокировка активации».

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2025-43534: iG0x72 и JJ из XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-28868: 이동하 (Lee Dong Ha из BoB 0xB6)

Kernel

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема устранена с помощью улучшенной аутентификации.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема устранена с помощью улучшенной аутентификации.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Локальный злоумышленник может получить доступ к объектам связки ключей пользователя.

Описание. Проблема устранена путем улучшения проверки разрешений.

CVE-2026-28864: Alex Radocea

UIFoundation

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Переполнение стека устранено путем улучшенной проверки ввода.

CVE-2026-28852: Caspian Tarafdar

Vision

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Анализ вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20657: Andrew Becker

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2026-20665: webb

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Обработка вредоносного веб-содержимого может обойти политику одного источника.

Описание. Проблема с разными источниками в API Navigation устранена путем улучшенной проверки ввода.

CVE-2026-20643: Thomas Espach

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Удаленный злоумышленник может просматривать запросы DNS, полученные в результате утечки, при включенной функции «Частный узел».

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2025-43376: Mike Cardwell из grepular.com, Bob Lord

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Вредоносный веб-сайт может получить доступ к обработчикам сообщений от скриптов, предназначенных для других источников.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2026-28861: Hongze Wu и Shuaike Dong из команды безопасности инфраструктуры Ant Group

WebKit

Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения

Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2026-28871: @hamayanhamayan

Дополнительные благодарности

Safari

Выражаем благодарность за помощь @RenwaX23.