Obsah zabezpečenia v systémoch iOS 18.7.9 a iPadOS 18.7.9

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 18.7.9 a iPadOS 18.7.9.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 18.7.9 a iPadOS 18.7.9

Accounts

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28877: Rosyna Keller z tímu Totally Not Malicious Software

APFS

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28959: Dave G.

App Intents

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) za Reverse Society

Audio

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže ukončiť proces

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-39869: David Ige z tímu Beryllium Security

Calendar

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28894: anonymný výskumník

CoreServices

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28936: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

FileProvider

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-43659: Alex Radocea

GeoServices

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28870: XiguaSec

ImageIO

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Obraz disku so škodlivým kódom môže obísť kontroly funkcie Gatekeeper

Popis: Problém s obchádzaním karantény súborov bol vyriešený pridaním kontrol.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28952: Calif.io v spolupráci s tímom Claude and Anthropic Research

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28951: Csaba Fitzl (@theevilbit) z tímu Iru

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd., Ryan Hileman prostredníctvom Xint Code (xint.io)

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Opis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28986: Tristan Madani (@TristanInSec) z tímu Talence Security, Ryan Hileman prostredníctvom Xint Code (xint.io), Chris Betz

Kernel

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-28983: Ruslan Dautov

libxpc

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) z tímu Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Odpovedanie na e-mail mohlo v režime blokovania v apke Mail zobraziť vzdialené obrázky

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43653: Atul R V

mDNSResponder

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28940: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti TrendAI

Model I/O

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28941: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti TrendAI

Networking

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Útočník môže byť schopný sledovať používateľov prostredníctvom ich IP adresy

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Aplikácia môže byť schopná obísť protokolovanie správy o ochrane osobných údajov aplikácie

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2026-28873: Guy Dor

Quick Look

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-43656: Peter Malone

SceneKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28846: Peter Malone

Shortcuts

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2026-28993: Doron Assness

Siri

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

Status Bar

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dosah: Apka môže byť schopná zaznamenávať obrazovku používateľa

Popis: Problém s prístupom apky k metadátam kamery bol vyriešený vylepšením logiky.

CVE-2026-28957: Adriatik Raci

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2026-28907: Cantina

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2026-43660: Cantina

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac a Kookhwan Lee v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI

CVE-2026-28953: Maher Azzouzi

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong/kakaogames, greenbynox, Adel Bouachraoui

WebKit

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28819: Wang Yu

Wi-Fi

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný vykonať útok zameraný na odmietnutie služby pomocou upravených paketov Wi-Fi

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28994: Alex Radocea

zlib

Dostupné pre: iPhone XS, iPhone XS Max, iPhone XR, iPad (7. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých dát

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28920: Brendon Tiszka z tímu Google Project Zero

Ďalšie poďakovanie

Kernel

Poďakovanie za pomoc si zaslúži Ryan Hileman prostredníctvom Xint Code (xint.io).

Location

Poďakovanie za pomoc si zaslúži Kun Peeks (@SwayZGl1tZyyy).

Managed Configuration

Poďakovanie za pomoc si zaslúži kado.

Messages

Poďakovanie za pomoc si zaslúži Bishal Kafle.

Multi-Touch

Poďakovanie za pomoc si zaslúži Asaf Cohen.