Om säkerhetsinnehållet i iOS 18.7.9 och iPadOS 18.7.9

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 18.7.9 och iPadOS 18.7.9.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 18.7.9 och iPadOS 18.7.9

Accounts

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28877: Rosyna Keller på Totally Not Malicious Software

APFS

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28959: Dave G.

App Intents

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app med skadligt innehåll kan bryta sig ut från sin sandlåda

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) för Reverse Society

Audio

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Om du bearbetar en ljudstream i en skadlig mediefil kan det leda till att processen avslutas

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-39869: David Ige på Beryllium Security

Calendar

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett DoS-problem åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2026-28894: en anonym forskare

CoreServices

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg på Nosebeard Labs

FileProvider

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-43659: Alex Radocea

GeoServices

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28870: XiguaSec

ImageIO

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan ta reda på schemat för kernelminnet

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En skivavbild med skadligt innehåll kan kringgå Gatekeeper-kontroller

Beskrivning: En kringgången filkarantän åtgärdades med ytterligare kontroller.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett buffertspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong och Pan Zhenpeng (@Peterpan0927) på STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28952: Calif.io i samarbete med Claude och Anthropic Research

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28951: Csaba Fitzl (@theevilbit) på Iru

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2026-28972: Billy Jheng Bing Jhong och Pan Zhenpeng (@Peterpan0927) på STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-28986: Tristan Madani (@TristanInSec) från Talence Security, Ryan Hileman via Xint Code (xint.io), Chris Betz

Kernel

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2026-28983: Ruslan Dautov

libxpc

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) på Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Svar på ett mejl kan visa bilder från servrar i Mail i Låst läge

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-43653: Atul R V

mDNSResponder

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28940: Michael DePlante (@izobashi) på TrendAI Zero Day Initiative

Model I/O

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2026-28941: Michael DePlante (@izobashi) på TrendAI Zero Day Initiative

Networking

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare kan spåra användare via deras IP-adress

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan kringgå registrering i Rapport om appintegritet

Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.

CVE-2026-28873: Guy Dor

Quick Look

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2026-43656: Peter Malone

SceneKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En fjärrangripare kan orsaka ett oväntat appavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28846: Peter Malone

Shortcuts

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Det här problemet åtgärdades genom att lägga till en extra uppmaning om användarens samtycke.

CVE-2026-28993: Doron Assness

Siri

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan öka behörigheter

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

Status Bar

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kan registrera en användares skärm

Beskrivning: Ett problem med appåtkomst till kamerametadata åtgärdades med förbättrad logik.

CVE-2026-28957: Adriatik Raci

WebKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2026-28907: Cantina

WebKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2026-43660: Cantina

WebKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, anonym i samarbete med TrendAI Zero Day Initiative

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac and Kookhwan Lee i samarbete med TrendAI Zero Day Initiative

CVE-2026-28953: Maher Azzouzi

WebKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation

Beskrivning: Problemet åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En app kanske kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-28819: Wang Yu

Wi-Fi

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: En angripare i en privilegierad nätverksposition kanske kan utföra ett DoS-angrepp med hjälp av särskilda Wi-Fi-paket

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-28994: Alex Radocea

zlib

Tillgänglig för: iPhone XS, iPhone XS Max, iPhone XR, iPad sjunde generationen

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28920: Brendon Tiszka på Google Project Zero

Ytterligare tack

Kernel

Vi vill tacka Ryan Hileman via Xint Code (xint.io) för hjälpen.

Location

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy) för hjälpen.

Managed Configuration

Vi vill tacka kado för hjälpen.

Messages

Vi vill tacka Bishal Kafle för hjälpen.

Multi-Touch

Vi vill tacka Asaf Cohen för hjälpen.