Over de beveiligingsinhoud van iOS 18.7.5 en iPadOS 18.7.5

In dit document wordt de beveiligingsinhoud van iOS 18.7.5 en iPadOS 18.7.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18.7.5 en iPadOS 18.7.5

Accessibility

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2026-20645: Loh Boon Keat

Books

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou & Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y & Ricardo Garcia, Dorian Del Valle

CFNetwork

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een externe gebruiker kan mogelijk willekeurige bestanden schrijven

Beschrijving: een probleem met de verwerking van een pad is verholpen door verbeterde logica.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2026-20611: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service of kan geheugeninhoud vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20634: George Karchemsky (@gkarchemsky) in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2026-20675: George Karchemsky (@gkarchemsky) in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy en Mathy Vanhoef

LaunchServices

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: het probleem is verholpen door de logboekregistratie op te schonen.

CVE-2026-20663: Zhongcheng Li van IES Red Team

libexpat

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-59375

libnetcore

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy en Mathy Vanhoef

Live Captions

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-20655: Richard Hyunho Im (@richeeta) van Route Zero Security (routezero.security)

Mail

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het uitschakelen van 'Laad extern materiaal in berichten' wordt mogelijk niet toegepast op alle voorvertoningen van e-mailberichten

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2026-20673: een anonieme onderzoeker

Messages

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een opdracht kan mogelijk de sandbox-beperkingen omzeilen

Beschrijving: een race condition is verholpen door verbeterde verwerking van symbolische links.

CVE-2026-20677: Ron Masas of BreakPoint.SH

Model I/O

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-20616: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Multi-Touch

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een schadelijk HID-apparaat kan een onverwachte procescrash veroorzaken

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2025-43533: Google Threat Analysis Group

CVE-2025-46300: Google Threat Analysis Group

CVE-2025-46301: Google Threat Analysis Group

CVE-2025-46302: Google Threat Analysis Group

CVE-2025-46303: Google Threat Analysis Group

CVE-2025-46304: Google Threat Analysis Group

CVE-2025-46305: Google Threat Analysis Group

Safari

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan toegang krijgen tot de Safari-geschiedenis van een gebruiker

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-20678: Óscar García Pérez en Stanislav Jelezoglo

Screenshots

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller kan mogelijk toegang krijgen tot de verwijderde notities van een gebruiker

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app in de sandbox heeft mogelijk toegang tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door aanvullende beperkingen voor de waarneembaarheid van appstatussen.

CVE-2026-20680: een anonieme onderzoeker

StoreKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: er is een privacyprobleem verholpen door verbeterde controles.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2026-20606: LeminLimez

Voice Control

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan mogelijk een systeemproces laten crashen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20605: @cloudlldb van @pixiepointsec

VoiceOver

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-20661: Dalibor Milanovic

WebKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2026-20608: HanQing van TSDubhe en Nan Wang (@eternalsakura13)

WebKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20644: HanQing van TSDubhe en Nan Wang (@eternalsakura13)

CVE-2026-20635: EntryHi

Wi-Fi

Beschikbaar voor: iPhone XS, iPhone XS Max, iPhone XR, iPad 7e generatie

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20621: Wang Yu of Cyberserval

Aanvullende erkenning

ImageIO

Met dank aan George Karchemsky (@gkarchemsky) in samenwerking met het Zero Day Initiative van Trend Micro voor de hulp.

Kernel

Met dank aan Xinru Chi van Pangu Lab voor de hulp.

libpthread

Met dank aan Fabiano Anemone voor de hulp.

WebKit

Met dank aan EntryHi, Stanislav Fort van Aisle Research, Vsevolod Kokorin (Slonser) van Solidlab en Jorian Woltjer voor de hulp.