Obsah zabezpečenia v systémoch iOS 18.7.7 a iPadOS 18.7.7

Informácie o obsahu zabezpečenia v systémoch iOS 18.7.7 a iPadOS 18.7.7.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 18.7.7 a iPadOS 18.7.7

802.1X

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s autentifikáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)

AppleKeyStore

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-20637: Johnny Franks (zeroxjf), anonymný výskumník

Audio

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28879: Justin Cohen zo spoločnosti Google

Clipboard

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže ukončiť proces

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-20690: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreUtils

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)

Crash Reporter

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Opis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2026-28878: Zhongcheng Li z tímu IES Red Team

curl

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: V komponente curl sa vyskytoval problém, ktorý mohol spôsobiť neúmyselné odoslanie citlivých informácií prostredníctvom nesprávneho pripojenia

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-14524

DeviceLink

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2026-28876: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

Focus

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28880: Zhongcheng Li z tímu IES Red Team

ImageIO

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-64505

iTunes Store

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Používateľ s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopný obísť Zámok aktivácie

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2025-43534: iG0x72 a JJ z tímu XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28868: 이동하 (Lee Dong Ha z projektu BoB 0xB6)

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Miestny útočník môže získať prístup k položkám Kľúčenky používateľa

Popis: Tento problém bol vyriešený pomocou vylepšenej kontroly oprávnení.

CVE-2026-28864: Alex Radocea

UIFoundation

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28852: Caspian Tarafdar

Vision

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20657: Andrew Becker

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-20665: webb

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom umožňuje obísť mechanizmus SOP (Same Origin Policy)

Popis: V rozhraní API Navigation dochádzalo k problému so zámenou pôvodu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-20643: Thomas Espach

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Vzdialený útočník môže byť schopný zobraziť si uniknuté dopyty DNS pri zapnutej funkcii Súkromný prenos

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43376: Mike Cardwell z tímu grepular.com, Bob Lord

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Webová stránka so škodlivým kódom môže byť schopná získať prístup k obslužným programom správ skriptov určeným pre iné oblasti pôvodu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28861: Hongze Wu a Shuaike Dong z tímu Ant Group Infrastructure Security Team

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-28871: @hamayanhamayan

Ďalšie poďakovanie

Safari

Poďakovanie za pomoc si zaslúži @RenwaX23.