Az iOS 18.7.9 és az iPadOS 18.7.9 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.7.9 és az iPadOS 18.7.9 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 18.7.9 és iPadOS 18.7.9

Accounts

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

APFS

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28959: Dave G.

App Intents

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A rosszindulatú appok adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) (Reverse Society)

Audio

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat leállását okozta

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-39869: David Ige (Beryllium Security)

Calendar

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2026-28894: anonim kutató

CoreServices

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28936: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

FileProvider

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-43659: Alex Radocea

GeoServices

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28870: XiguaSec

ImageIO

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória kiosztását.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28943: Google Threat Analysis Group

IOKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Hatás: Egy rosszindulatúan létrehozott lemezkép megkerülheti a Gatekeeper ellenőrzéseit

Leírás: További ellenőrzésekkel elhárítottuk a fájlkarantén megkerülését.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong és Pan Zhenpeng (@Peterpan0927, STAR Labs SG Pte.) Ltd., Aswin kumar Gokulakannan

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2026-28952: Calif.io Claude és Anthropic Research közreműködésével

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28951: Csaba Fitzl (@theevilbit, Iru)

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2026-28972: Billy Jheng Bing Jhong és Pan Zhenpeng (Peterpan0927, STAR Labs SG Pte.) Ltd., Ryan Hileman a Xint Code (xint.io) révén

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28986: Tristan Madani (@TristanInSec, Talence Security), Ryan Hileman a Xint Code révén (xint.io), Chris Betz

Kernel

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2026-28983: Ruslan Dautov

libxpc

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordulhat, hogy egy e-mailre való válaszadáskor távoli képek jelennek meg Zárt módban a Mailben

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-43653: Atul R V

mDNSResponder

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28940: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Model I/O

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28941: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Networking

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A támadók nyomon tudták követni a felhasználókat az IP-címük alapján.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások bizonyos esetekben megkerülhették az Appok adatvédelmi jelentése naplózását.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28873: Guy Dor

Quick Look

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2026-43656: Peter Malone

SceneKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28846: Peter Malone

Shortcuts

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2026-28993: Doron Assness

Siri

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

Status Bar

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az alkalmazások rögzíteni tudták a felhasználó képernyőjét.

Leírás: Továbbfejlesztett logikával elhárítottuk azt a problémát, amely miatt az alkalmazások nem tudtak hozzáférni a kamera metaadataihoz.

CVE-2026-28957: Adriatik Raci

WebKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2026-28907: Cantina

WebKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2026-43660: Cantina

WebKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, Anonymous a TrendAI Zero Day kezdeményezés keretében

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac és Kookhwan Lee a TrendAI Zero Day kezdeményezés keretében

CVE-2026-28953: Maher Azzouzi

WebKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-28819: Wang Yu

Wi-Fi

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni Wi-Fi-csomagok létrehozásával

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-28994: Alex Radocea

zlib

A következőkhöz érhető el: iPhone XS, iPhone XS Max, iPhone XR, 7. generációs iPad

Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

További köszönetnyilvánítás

Kernel

Köszönjük Ryan Hileman segítségét a Xint Code (xint.io) közvetítésével.

Location

Köszönjük Kun Peeks (@SwayZGl1tZyyy) segítségét.

Managed Configuration

Köszönjük kado segítségét.

Messages

Köszönjük Bishal Kafle segítségét.

Multi-Touch

Köszönjük Asaf Cohen segítségét.