Sobre o conteúdo de segurança do iOS 18.7.7 e iPadOS 18.7.7

Sobre o conteúdo de segurança do iOS 18.7.7 e iPadOS 18.7.7.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

iOS 18.7.7 e iPadOS 18.7.7

Lançado em 24 de março de 2026

Nota: disponibilizamos o iOS 18.7.7 para mais dispositivos em 1° de abril de 2026 para que os usuários com a opção de Atualizações Automáticas ativada possam receber automaticamente as proteções de segurança importantes contra ataques na web intitulados DarkSword. As correções associadas à exploração DarkSword foram enviadas pela primeira vez em 2025.

802.1X

Disponível para: iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (todos os modelos), iPhone SE (2ª geração), iPhone 12 (todos os modelos), iPhone 13 (todos os modelos), iPhone SE (3ª geração), iPhone 14 (todos os modelos), iPhone 15 (todos os modelos), iPhone 16 (todos os modelos), iPhone 16e, iPad mini (5ª geração, A17 Pro), iPad (7ª geração, A16), iPad Air (3ª a 5ª geração), iPad Air de 11 polegadas (M2, M3), iPad Air de 13 polegadas (M2, M3), iPad Pro de 11 polegadas (1ª geração, M4), iPad Pro de 12,9 polegadas (3ª a 6ª geração) e iPad Pro de 13 polegadas (M4)

Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de rede

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

AppleKeyStore

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-20637: Johnny Franks (zeroxjf), um pesquisador anônimo

Audio

Impacto: processar conteúdo da web criado com códigos mal-intencionados pode causar uma falha inesperada no processo

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-28879: Justin Cohen do Google

Clipboard

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2026-28866: Cristian Dinca (icmd.tech)

CoreMedia

Impacto: o processamento de um fluxo de áudio em um arquivo de mídia criado de forma mal-intencionada pode encerrar o processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-20690: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreUtils

Impacto: um usuário em uma posição de rede privilegiada pode ser capaz de causar uma negação de serviço

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.

CVE-2026-28878: Zhongcheng Li da IES Red Team

curl

Impacto: existia um problema em "curl" que pode causar o envio não intencional de informações confidenciais por meio de uma conexão incorreta

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-14524

DeviceLink

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de análise no processamento de caminhos de diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2026-28876: Andreas Jaegersberger e Ro Achterberg da Nosebeard Labs

Focus

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2026-20668: Kirin (@Pwnrin)

iCloud

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2026-28880: Zhongcheng Li da IES Red Team

ImageIO

Impacto: processar um arquivo criado com códigos mal-intencionados pode causar o encerramento inesperado de apps

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-64505

iTunes Store

Impacto: um usuário com acesso físico a um dispositivo iOS pode ser capaz de conseguir contornar o Bloqueio de Ativação

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2025-43534: iG0x72 e JJ da XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Impacto: um app pode divulgar a memória do kernel

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2026-28868: 이동하 (Lee Dong Ha de BoB 0xB6)

Kernel

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: esse problema foi resolvido por meio de melhorias na autenticação.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-20687: Johnny Franks (@zeroxjf)

mDNSResponder

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: esse problema foi resolvido por meio de melhorias na autenticação.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Security

Impacto: um invasor local pode obter acesso a itens das chaves do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações de permissões.

CVE-2026-28864: Alex Radocea

UIFoundation

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um estouro de pilha foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28852: Caspian Tarafdar

Vision

Impacto: processar um arquivo criado com códigos mal-intencionados pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20657: Andrew Becker

WebKit

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode ignorar a Política de Mesma Origem

Descrição: um problema de origem cruzada na API Navigation foi resolvido com a validação aprimorada de entrada.

WebKit Bugzilla: 306050

CVE-2026-20643: Thomas Espach

WebKit

Impacto: um invasor remoto pode visualizar consultas DNS vazadas com a Retransmissão Privada ativada

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell da grepular.com, Bob Lord

WebKit

Impacto: um site mal-intencionado pode conseguir acessar manipuladores de mensagens em script destinados a outras origens

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 307014

CVE-2026-28861: Hongze Wu e Shuaike Dong da equipe Ant Group Infrastructure Security Team

WebKit

Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 305859

CVE-2026-28871: @hamayanhamayan

Outros reconhecimentos

Safari

Gostaríamos de agradecer a @RenwaX23 pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 06 de abril de 2026