Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 18.7.9 и iPadOS 18.7.9
В этом документе описаны проблемы системы безопасности, устраняемые обновлениями iOS 18.7.9 и iPadOS 18.7.9.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
iOS 18.7.9 и iPadOS 18.7.9
Дата выпуска: 11 мая 2026 г.
Accounts
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.
CVE-2026-28877: Rosyna Keller из Totally Not Malicious Software
APFS
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2026-28959: Dave G.
App Intents
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Вредоносное приложение может выходить за границы песочницы.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) в рамках сотрудничества с Reverse Society
Audio
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2026-39869: David Ige из Beryllium Security
Calendar
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Удаленный злоумышленник может вызывать отказ в обслуживании.
Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.
CVE-2026-28872: Alvin Aries Tapia
Calling Framework
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Удаленный злоумышленник может вызывать отказ в обслуживании.
Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.
CVE-2026-28894: анонимный исследователь
CoreServices
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2026-28936: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs
FileProvider
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2026-43659: Alex Radocea
GeoServices
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.
CVE-2026-28870: XiguaSec
ImageIO
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2026-28977: Suresh Sundaram
IOHIDFamily
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.
Описание. Уязвимость, связанная с повреждением данных в памяти, устранена путем улучшения блокировки.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOHIDFamily
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Программа может выявлять схему распределения памяти в ядре.
Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.
CVE-2026-28943: подразделение Threat Analysis Group компании Google
IOKit
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Kernel
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может раскрывать данные из памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Влияние. Вредоносный образ диска может обходить проверки Gatekeeper.
Описание. Проблема обхода карантина файлов решена путем дополнительных проверок.
CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.
Описание. Проблема переполнения буфера устранена путем улучшенной проверки ввода.
CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong и Pan Zhenpeng (@Peterpan0927) из STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan
Kernel
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2026-28952: Calif.io в сотрудничестве с Claude и Anthropic Research
Kernel
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может получить привилегии пользователя root.
Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.
CVE-2026-28951: Csaba Fitzl (@theevilbit) из Iru
Kernel
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2026-28972: Billy Jheng Bing Jhong и Pan Zhenpeng (@Peterpan0927) из STAR Labs SG Pte. Ltd., Ryan Hileman при посредничестве Xint Code (xint.io)
Kernel
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2026-28986: Tristan Madani (@TristanInSec) из Talence Security, Ryan Hileman при посредничестве Xint Code (xint.io), Chris Betz
Kernel
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.
Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.
CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)
LaunchServices
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.
Описание. Проблема смешения типов устранена путем улучшенных проверок.
CVE-2026-28983: Ruslan Dautov
libxpc
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может перечислять установленные пользователем приложения.
Описание. Проблема устранена путем улучшения проверок.
CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) из Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack
Mail Drafts
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. При ответе на письмо в приложении «Почта» могли отображаться внешние изображения в режиме блокировки.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)
mDNSResponder
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2026-43653: Atul R V
mDNSResponder
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Злоумышленник может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2026-43668: Ricardo Prado, Anton Pakhunov
mDNSResponder
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Model I/O
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного изображения может привести к повреждению памяти процессов.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2026-28940: Michael DePlante (@izobashi) в сотрудничестве с TrendAI в рамках программы Zero Day Initiative
Model I/O
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2026-28941: Michael DePlante (@izobashi) в сотрудничестве с TrendAI в рамках программы Zero Day Initiative
Networking
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Злоумышленник может отслеживать пользователей через IP-адреса.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2026-28906: Ilya Sc. Jowell A.
Privacy
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может обходить ведение отчета о конфиденциальности приложений.
Описание. Проблема устранена путем ввода дополнительных проверок прав.
CVE-2026-28873: Guy Dor
Quick Look
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Анализ вредоносного файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2026-43656: Peter Malone
SceneKit
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы приложения.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2026-28846: Peter Malone
Shortcuts
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Эта проблема была устранена посредством добавления дополнительного запроса для подтверждения согласия пользователя.
CVE-2026-28993: Doron Assness
Siri
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема с логикой устранена путем улучшения проверок.
Status Bar
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может записывать изображение с экрана пользователя.
Описание. Проблема с доступом приложения к метаданным камеры устранена путем улучшения логики.
CVE-2026-28957: Adriatik Raci
WebKit
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема устранена путем улучшения проверки ввода.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема с проверкой устранена путем улучшения логики.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, анонимный пользователь в сотрудничестве с TrendAI в рамках программы Zero Day Initiative
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 310880
CVE-2026-28955: wac и Kookhwan Lee working в сотрудничестве с TrendAI в рамках программы Zero Day Initiative
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.
Описание. Проблема устранена путем улучшения ограничений доступа.
WebKit Bugzilla: 309698
CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui
WebKit
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшения проверки ввода.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
Wi-Fi
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2026-28819: Wang Yu
Wi-Fi
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить атаку типа «отказ в обслуживании» с помощью собственноручно созданных пакетов Wi-Fi.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2026-28994: Alex Radocea
zlib
Целевые продукты: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го поколения
Воздействие. Посещение вредоносного веб-сайта может приводить к утечке конфиденциальных данных.
Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.
CVE-2026-28920: Brendon Tiszka из Google Project Zero
Дополнительные благодарности
Kernel
Выражаем благодарность за помощь Ryan Hileman при посредничестве Xint Code (xint.io).
Location
Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy).
Managed Configuration
Выражаем благодарность за помощь пользователю kado.
Messages
Выражаем благодарность за помощь Bishal Kafle.
Multi-Touch
Выражаем благодарность за помощь Asaf Cohen.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.