Informazioni sui contenuti di sicurezza di iOS 18.7.9 e iPadOS 18.7.9

In questo documento vengono descritti i contenuti di sicurezza di iOS 18.7.9 e iPadOS 18.7.9.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 18.7.9 e iPadOS 18.7.9

Accounts

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28877: Rosyna Keller di Totally Not Malicious Software

APFS

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2026-28959: Dave G.

App Intents

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app dannosa può essere in grado di uscire dalla sandbox.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) per Reverse Society

Audio

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un file multimediale audio in streaming potrebbe causare l'arresto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-39869: David Ige di Beryllium Security

Calendar

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28872: Alvin Aries Tapia

Calling Framework

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28894: un ricercatore anonimo

CoreServices

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2026-28936: Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs

FileProvider

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2026-43659: Alex Radocea

GeoServices

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: una perdita di informazioni è stata risolta attraverso una convalida aggiuntiva.

CVE-2026-28870: XiguaSec

ImageIO

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2026-28977: Suresh Sundaram

IOHIDFamily

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app può determinare il layout della memoria del kernel

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-28943: Threat Analysis Group di Google

IOKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'immagine disco dannosa può riuscire a bypassare i controlli di Gatekeeper.

Descrizione: un problema di bypass della quarantena dei file è stato risolto con ulteriori controlli.

CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong e Pan Zhenpeng (@Peterpan0927) di STAR Labs SG Pte. Ltd., Aswin kumar Gokulakannan

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28952: Calif.io in collaborazione con Claude e Anthropic Research

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28951: Csaba Fitzl (@theevilbit) di Iru

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28972: Billy Jheng Bing Jhong e Pan Zhenpeng (@Peterpan0927) di STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2026-28986: Tristan Madani (@TristanInSec) di Talence Security, Ryan Hileman via Xint Code (xint.io), Chris Betz

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.

CVE-2026-28983: Ruslan Dautov

libxpc

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) di Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Drafts

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: la risposta a un'email potrebbe mostrare immagini remote in Mail quando la modalità di isolamento è abilitata.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-43653: Atul R V

mDNSResponder

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un'immagine dannosa potrebbe danneggiare la memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-28940: Michael DePlante (@izobashi) di TrendAI Zero Day Initiative

Model I/O

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2026-28941: Michael DePlante (@izobashi) di TrendAI Zero Day Initiative

Networking

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato può essere in grado di monitorare gli utenti utilizzando il loro indirizzo IP.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28906: Ilya Sc. Jowell A.

Privacy

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'applicazione potrebbe riuscire ad aggirare la registrazione del resoconto sulla privacy delle app.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2026-28873: Guy Dor

Quick Look

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'analisi di un file dannoso potrebbe causare la chiusura improvvisa dell'app.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-43656: Peter Malone

SceneKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato collegato in remoto può causare l’arresto imprevisto dell'app.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2026-28846: Peter Malone

Shortcuts

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.

CVE-2026-28993: Doron Assness

Siri

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

Status Bar

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app può essere in grado di acquisire la schermata dell'utente.

Descrizione: un problema con l'accesso di un'app ai metadati della fotocamera è stato risolto attraverso una migliore logica.

CVE-2026-28957: Adriatik Raci

WebKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

CVE-2026-28907: Cantina

WebKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2026-43660: Cantina

WebKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, Anonymous in collaborazione con TrendAI Zero Day Initiative

CVE-2026-28904: Luka Rački

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28955: wac e Kookhwan Lee in collaborazione con TrendAI Zero Day Initiative

CVE-2026-28953: Maher Azzouzi

WebKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.

CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

WebKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

CVE-2026-28917: Vitaly Simonovich

Wi-Fi

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-28819: Wang Yu

Wi-Fi

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe causare un'interruzione del servizio usando pacchetti Wi-Fi modificati.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28994: Alex Radocea

zlib

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'accesso a un sito web pericoloso potrebbe causare la perdita di dati sensibili.

Descrizione: una perdita di informazioni è stata risolta attraverso una convalida aggiuntiva.

CVE-2026-28920: Brendon Tiszka di Google Project Zero

Altri riconoscimenti

Kernel

Ringraziamo Ryan Hileman via Xint Code (xint.io) per l'assistenza.

Location

Ringraziamo Kun Peeks (@SwayZGl1tZyyy) per l'assistenza.

Managed Configuration

Ringraziamo kado per l'assistenza.

Messages

Ringraziamo Bishal Kafle per l'assistenza.

Multi-Touch

Ringraziamo Asaf Cohen per l'assistenza.