Om säkerhetsinnehållet i iOS 18.7.5 och iPadOS 18.7.5

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 18.7.5 och iPadOS 18.7.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 18.7.5 och iPadOS 18.7.5

Accessibility

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2026-20645: Loh Boon Keat

Books

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Att återskapa en säkerhetskopia med skadlig struktur kan leda till modifiering av skyddade systemfiler

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou & Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y & Ricardo Garcia, Dorian Del Valle

CFNetwork

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En fjärranvändare kan skriva opålitliga filer

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad logik.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20611: Anonym i samarbete med Trend Micro Zero Day Initiative

CoreMedia

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20634: George Karchemsky (@gkarchemsky) i samarbete med Trend Micro Zero Day Initiative

ImageIO

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en bildfil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2026-20675: George Karchemsky (@gkarchemsky) i samarbete med Trend Micro Zero Day Initiative

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet löstes genom rensning av loggningar.

CVE-2026-20663: Zhongcheng Li från IES Red Team

libexpat

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-59375

libnetcore

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Live Captions

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20655: Richard Hyunho Im (@richeeta) på Route Zero Security (routezero.security)

Mail

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Det fungerade inte att stänga av Läs in fjärrinnehåll i meddelanden på alla förhandsvisningar av e-postmeddelanden

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2026-20673: En anonym forskare

Messages

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En genväg kanske kan kringgå sandlådebegränsningar

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad hantering av symboliska länkar.

CVE-2026-20677: Ron Masas of BreakPoint.SH

Model I/O

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en skadlig USD-fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20616: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

Multi-Touch

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En skadlig HID-enhet kanske kan orsaka en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2025-43533: Google Threat Analysis Group

CVE-2025-46300: Google Threat Analysis Group

CVE-2025-46301: Google Threat Analysis Group

CVE-2025-46302: Google Threat Analysis Group

CVE-2025-46303: Google Threat Analysis Group

CVE-2025-46304: Google Threat Analysis Group

CVE-2025-46305: Google Threat Analysis Group

Safari

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan komma åt en användares Safari-historik

Beskrivning: Ett logikproblem åtgärdades genom förbättrad validering.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare kanske kan upptäcka en användares raderade anteckningar

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app i sandlådan kanske kan få åtkomst till känsliga användardata

Beskrivning: Problemet åtgärdades med ytterligare begränsningar för visning av applägen.

CVE-2026-20680: En anonym forskare

StoreKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan kanske identifiera vilka övriga appar som en användare har installerat

Beskrivning: Ett integritetsfel åtgärdades med förbättrade kontroller.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan kringgå vissa inställningar för Integritet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2026-20606: LeminLimez

Voice Control

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan krascha en systemprocess

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20605: @cloudlldb på @pixiepointsec

VoiceOver

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20661: Dalibor Milanovic

WebKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20608: HanQing på TSDubhe och Nan Wang (@eternalsakura13)

WebKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20644: HanQing på TSDubhe och Nan Wang (@eternalsakura13)

CVE-2026-20635: EntryHi

Wi-Fi

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan orsaka oväntat systemavslut eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20621: Wang Yu på Cyberserval

Ytterligare tack

ImageIO

Vi vill tacka George Karchemsky (@gkarchemsky) i samarbete med Trend Micro Zero Day Initiative för hjälpen.

Kernel

Vi vill tacka Xinru Chi på Pangu Lab för hjälpen.

libpthread

Vi vill tacka Fabiano Anemone för hjälpen.

WebKit

Vi vill tacka EntryHi, Stanislav Fort på Aisle Research, Vsevolod Kokorin (Slonser) på Solidlab och Jorian Woltjer för hjälpen.