Проблеми системи безпеки, які усунено в оновленнях iOS 18.7.7 та iPadOS 18.7.7

Проблеми системи безпеки, які усунено в оновленнях iOS 18.7.7 та iPadOS 18.7.7

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 18.7.7 та iPadOS 18.7.7

802.1X

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: зловмисник із привілейованим положенням у мережі може перехоплювати мережевий трафік.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2026-28865: Héloïse Gollier і Mathy Vanhoef (KU Leuven)

AppleKeyStore

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-20637: Johnny Franks (zeroxjf), анонімний дослідник

Audio

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2026-28879: Justin Cohen із Google

Clipboard

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: обробка аудіопотоку в шкідливому медіафайлі може призводити до завершення процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2026-20690: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreUtils

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: користувач із привілейованим положенням у мережі може спричинити відмову в обслуговуванні.

Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.

CVE-2026-28886: Etienne Charron (Renault) і Victoria Martini (Renault)

Crash Reporter

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може перелічувати, скільки програм інсталював користувач.

Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.

CVE-2026-28878: Zhongcheng Li з IES Red Team

curl

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: у Curl існувала проблема, яка могла призвести до ненавмисного надсилання конфіденційної інформації через неправильне з’єднання.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-14524

DeviceLink

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2026-28876: Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs

Focus

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може перелічувати, скільки програм інсталював користувач.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2026-28880: Zhongcheng Li з IES Red Team

ImageIO

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-64505

iTunes Store

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: особа з фізичним доступом до пристрою iOS може обійти Замок активації.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2025-43534: iG0x72 і JJ із XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2026-28868: 이동하 (Lee Dong Ha з BoB 0xB6)

Kernel

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему вирішено завдяки вдосконаленню автентифікації.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему вирішено завдяки вдосконаленню автентифікації.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: локальний зловмисник може отримати доступ до елементів В’язки користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірки дозволів.

CVE-2026-28864: Alex Radocea

UIFoundation

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: переповнення стека усунено завдяки поліпшенню перевірки вводу.

CVE-2026-28852: Caspian Tarafdar

Vision

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-20657: Andrew Becker

WebKit

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: обробка зловмисного вебконтенту може завадити застосуванню політики безпеки контенту.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2026-20665: webb

WebKit

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: обробка шкідливого вебконтенту може порушувати політику того самого походження.

Опис: проблему перехресного походження з Navigation API усунено завдяки вдосконаленню перевірки вводу.

CVE-2026-20643: Thomas Espach

WebKit

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: зловмисник міг дистанційно переглядати запити DNS, отримані в результаті витоку, з увімкненою функцією «Приват-реле».

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2025-43376: Mike Cardwell із grepular.com, Bob Lord

WebKit

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: шкідливий вебсайт може мати доступ до обробників повідомлень скриптів, призначених для інших джерел.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2026-28861: Hongze Wu і Shuaike Dong із відділу безпеки Ant Group Infrastructure

WebKit

Цільові продукти: iPhone XS, iPhone XS Max, iPhone XR, iPad 7-го покоління

Вплив: відвідування шкідливого вебсайту може призвести до атаки міжсайтового скриптингу.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2026-28871: @hamayanhamayan

Додаткова подяка

Safari

Дякуємо за допомогу користувачу @RenwaX23.