Informazioni sui contenuti di sicurezza di iOS 18.7.5 e iPadOS 18.7.5

In questo documento vengono descritti i contenuti di sicurezza di iOS 18.7.5 e iPadOS 18.7.5.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 18.7.5 e iPadOS 18.7.5

Accessibility

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2026-20645: Loh Boon Keat

Books

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou e Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y e Ricardo Garcia, Dorian Del Valle

CFNetwork

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente collegato in remoto può essere in grado di scrivere file arbitrari

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore logica.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-20611: anonimo in collaborazione con Trend Micro Zero Day Initiative

CoreMedia

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20634: George Karchemsky (@gkarchemsky) in collaborazione con Trend Micro Zero Day Initiative

ImageIO

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione delle informazioni degli utenti

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2026-20675: George Karchemsky (@gkarchemsky) in collaborazione con Trend Micro Zero Day Initiative

Kernel

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto ripulendo i log.

CVE-2026-20663: Zhongcheng Li di IES Red Team

libexpat

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un file pericoloso potrebbe causare un'interruzione del servizio

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-59375

libnetcore

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Trascrizioni live

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20655: Richard Hyunho Im (@richeeta) presso Route Zero Security (routezero.security)

Mail

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: la disattivazione dell'opzione “Load remote content in messages” (Carica contenuto remoto dei messaggi) non veniva applicata a tutte le anteprime dei messaggi email.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-20673: un ricercatore anonimo

Messaggi

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un comando rapido può essere in grado di eludere le restrizioni della sandbox.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dei link simbolici.

CVE-2026-20677: Ron Masas di BreakPoint.SH

Model I/O

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-20616: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative

Multi-Touch

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un dispositivo HID dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2025-43533: Threat Analysis Group di Google

CVE-2025-46300: Threat Analysis Group di Google

CVE-2025-46301: Threat Analysis Group di Google

CVE-2025-46302: Threat Analysis Group di Google

CVE-2025-46303: Threat Analysis Group di Google

CVE-2025-46304: Threat Analysis Group di Google

CVE-2025-46305: Threat Analysis Group di Google

Safari

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app può essere in grado di accedere alla cronologia Safari dell'utente.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato può essere in grado di scoprire i messaggi eliminati di un utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'applicazione sandbox potrebbe essere in grado di accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.

CVE-2026-20680: un ricercatore anonimo

StoreKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: un problema di privacy è stato risolto attraverso migliori controlli.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe bypassare alcune preferenze di privacy.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2026-20606: LeminLimez

Voice Control

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app può essere in grado di causare il crash di un processo di sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20605: @cloudlldb di @pixiepointsec

VoiceOver

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20661: Dalibor Milanovic

WebKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20608: HanQing di TSDubhe e Nan Wang (@eternalsakura13)

WebKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20644: HanQing di TSDubhe e Nan Wang (@eternalsakura13)

CVE-2026-20635: EntryHi

Wi-Fi

Disponibile per: iPhone XS, iPhone XS Max, iPhone XR, iPad 7ª generazione

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20621: Wang Yu di Cyberserval

Altri riconoscimenti

ImageIO

Ringraziamo George Karchemsky (@gkarchemsky) in collaborazione con Trend Micro Zero Day Initiative per l'assistenza.

Kernel

Ringraziamo Xinru Chi di Pangu Lab per l'assistenza.

libpthread

Ringraziamo Fabiano Anemone per l'assistenza.

WebKit

Ringraziamo EntryHi, Stanislav Fort di Aisle Research, Vsevolod Kokorin (Slonser) di Solidlab e Jorian Woltjer per l'assistenza.