Informace o bezpečnostním obsahu iOS 18.7.7 a iPadOS 18.7.7

Informace o bezpečnostním obsahu iOS 18.7.7 a iPadOS 18.7.7.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 18.7.7 a iPadOS 18.7.7

Vydáno 24. března 2026

Poznámka: 1. dubna 2026 jsme umožnili dostupnost iOS 18.7.7 pro víc zařízení, takže uživatelé se zapnutými automatickými aktualizacemi můžou automaticky získat důležité ochrany zabezpečení před webovými útoky zvanými DarkSword. Opravy týkající se útoků DarkSword byly poprvé poskytnuty v roce 2025.

802.1X

K dispozici pro: iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (všechny modely), iPhone SE (2. generace), iPhone 12 (všechny modely), iPhone 13 (všechny modely), iPhone SE (3. generace), iPhone 14 (všechny modely), iPhone 15 (všechny modely), iPhone 16 (všechny modely), iPhone 16e, iPad mini (5. generace – A17 Pro), iPad (7. generace – A16), iPad Air (3.–5. generace), iPad Air 11palcový (M2 – M3), iPad Air 13palcový (M2 – M3), iPad Pro 11palcový (1. generace – M4), iPad Pro 12,9palcový (3. –6. generace) a iPad Pro 13palcový (M4)

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit zachycovat síťový provoz.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)

AppleKeyStore

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-20637: Johnny Franks (zeroxjf), anonymní výzkumník

Audio

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-28879: Justin Cohen ze společnosti Google

Clipboard

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Dopad: Zpracování audio streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2026-20690: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreUtils

Dopad: Uživateli s vysokými oprávněními v síti se může podařit způsobit odmítnutí služby.

Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)

Crash Reporter

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.

CVE-2026-28878: Zhongcheng Li z týmu IES Red Team

curl

Dopad: V curl existoval problém, který může vést k neúmyslnému odesílání citlivých informací přes nesprávné připojení.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-14524

DeviceLink

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.

CVE-2026-28876: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs

Focus

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2026-28880: Zhongcheng Li z týmu IES Red Team

ImageIO

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

CVE-2025-64505

iTunes Store

Dopad: Uživateli s fyzickým přístupem k iOS zařízení se může podařit obejít zámek aktivace.

Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.

CVE-2025-43534: iG0x72 a JJ z týmu XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-28868: 이동하 (Lee Dong Ha z týmu BoB 0xB6)

Kernel

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém byl vyřešen vylepšením ověření.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém byl vyřešen vylepšením ověření.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Dopad: Místní útočník může získat přístup k položkám v uživatelově klíčence.

Popis: Problém byl vyřešen vylepšením kontroly oprávnění.

CVE-2026-28864: Alex Radocea

UIFoundation

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28852: Caspian Tarafdar

Vision

Dopad: Parsování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-20657: Andrew Becker

WebKit

Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.

Popis: Problém byl vyřešen vylepšením správy stavů.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k obejití zásady stejného původu.

Popis: Problém se získáváním dat napříč původy v rozhraní API navigace byl vyřešen vylepšením ověřování vstupů.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Dopad: Vzdálenému útočníkovi se může podařit zobrazit uniklé dotazy DNS, pokud je zapnutý Soukromý přenos.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell z grepular.com, Bob Lord

WebKit

Dopad: Škodlivému webu se může podařit získat přístup k obslužným rutinám zpráv skriptu zamýšleným pro jiné původy.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu a Shuaike Dong z týmu Group Infrastructure Security Team

WebKit

Dopad: Návštěva škodlivého webu může vést ke skriptovému útoku napříč weby.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

Další poděkování

Safari

Poděkování za pomoc zaslouží @RenwaX23.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: 06. dubna 2026