Update18.05.2026

Ein Genehmigungsproblem wurde mit einer verbesserten Zustandsverwaltung angegangen.

iOS
Apple

iOS 18.7.9 und iPadOS 18.7.9
Freigegeben 11. Mai 2026

Accounts
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise auf sensible Benutzerdaten zugreifen
Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2026-28877: Rosyna Keller von Totally Not Malicious Software

APFS
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise eine unerwartete Systembeendigung verursachen
Beschreibung: Ein Pufferüberlauf wurde mit einer verbesserten Grenzüberprüfung behoben.
CVE-2026-28959: Dave G.

App Intents
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine bösartige App kann möglicherweise aus ihrer Sandbox ausbrechen
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) für Reverse Society

Audio
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung eines Audiostroms in einer bösartig gestalteten Mediendatei kann den Prozess beenden
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2026-39869: David Ige von Beryllium Security

Kalender
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Problem der Ressourcenerschöpfung wurde mit verbesserter Eingabevalidierung behoben.
CVE-2026-28872: Alvin Aries Tapia

Calling Framework
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Denial-of-Service-Problem wurde mit verbesserter Eingabevalidierung behoben.
CVE-2026-28894: ein anonymer Forscher

CoreServices
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten Beenden der App führen
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg von Nosebeard Labs

FileProvider
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise auf sensible Nutzerdaten zugreifen
Beschreibung: Eine Race Condition wurde mit zusätzlicher Validierung behoben.
CVE-2026-43659: Alex Radocea

GeoServices
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise auf sensible Benutzerdaten zugreifen
Beschreibung: Ein Informationsleck wurde durch zusätzliche Validierung behoben.
CVE-2026-28870: XiguaSec

ImageIO
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einer unerwarteten Beendigung der App führen
Beschreibung: Das Problem wurde mit verbesserten Bound Checks behoben.
CVE-2026-28977: Suresh Sundaram

IOHIDFamilie
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der App verursachen
Beschreibung: Eine Schwachstelle in Bezug auf Speicherkorruption wurde mit verbessertem Locking behoben.
CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise das Kernel-Speicherlayout bestimmen
Beschreibung: Ein Protokollierungsproblem wurde mit verbesserter Datenredaktion behoben.
CVE-2026-28943: Google Threat Analysis Group

IOKit
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise einen unerwarteten Systemabbruch verursachen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein in böser Absicht erstelltes Disk-Image kann Gatekeeper-Prüfungen umgehen
Beschreibung: Eine Umgehung der Datei-Quarantäne wurde mit zusätzlichen Prüfungen behoben.
CVE-2026-28954: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen
Beschreibung: Ein Pufferüberlauf wurde mit verbesserter Eingabevalidierung behoben.
CVE-2026-28897: Robert Tran, popku1337, Billy Jheng Bing Jhong und Pan Zhenpeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. und Aswin Kumar Gokulakannan

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise einen unerwarteten Systemabbruch verursachen
Beschreibung: Ein Integer-Überlauf wurde mit verbesserter Eingabevalidierung behoben.
CVE-2026-28952: Calif.io in Zusammenarbeit mit Claude und Anthropic Research

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise Root-Rechte erlangen
Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2026-28951: Csaba Fitzl (@theevilbit) von Iru

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher schreiben
Beschreibung: Ein Out-of-bounds-Schreibproblem wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2026-28972: Billy Jheng Bing Jhong und Pan Zhenpeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. und Ryan Hileman über Xint Code (xint.io)

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise einen unerwarteten Systemabbruch verursachen
Beschreibung: Eine Wettlaufsituation wurde mit zusätzlicher Validierung behoben.
CVE-2026-28986: Tristan Madani (@TristanInSec) von Talence Security, Ryan Hileman über Xint Code (xint.io), Chris Betz

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise sensiblen Kernel-Status ausspähen
Beschreibung: Ein Protokollierungsproblem wurde mit verbesserter Datenredaktion behoben.
CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Typverwechslungsproblem wurde mit verbesserten Prüfungen behoben.
CVE-2026-28983: Ruslan Dautov

libxpc
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App könnte in der Lage sein, die installierten Apps eines Benutzers aufzuzählen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) von der Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Mail Entwürfe
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Beim Beantworten einer E-Mail können in Mail im Lockdown-Modus entfernte Bilder angezeigt werden
Beschreibung: Ein logisches Problem wurde mit verbesserten Überprüfungen behoben.
CVE-2026-28929: Yiğit Can YILMAZ (@yilmazcanyigit)

mDNSResponder
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein Angreifer im lokalen Netzwerk kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2026-43653: Atul R V

mDNSResponder
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein entfernter Angreifer kann möglicherweise einen unerwarteten Systemabbruch herbeiführen oder den Kernelspeicher beschädigen
Beschreibung: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2026-43668: Ricardo Prado, Anton Pakhunov

mDNSResponder
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein Angreifer im lokalen Netzwerk kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Out-of-bounds-Schreibproblem wurde mit einer verbesserten Bound-Checking-Funktion behoben.
CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann den Prozessspeicher beschädigen
Beschreibung: Das Problem wurde durch verbesserte Speicherbehandlung behoben.
CVE-2026-28940: Michael DePlante (@izobashi) von der TrendAI Zero Day Initiative

Model I/O
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem Denial-of-Service führen oder möglicherweise Speicherinhalte offenlegen
Beschreibung: Das Problem wurde mit verbesserten Prüfungen behoben.
CVE-2026-28941: Michael DePlante (@izobashi) von der TrendAI Zero Day Initiative

Networking
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein Angreifer kann möglicherweise Benutzer über ihre IP-Adresse verfolgen
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2026-28906: Ilya Sc. Jowell A.

Privatsphäre
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App könnte in der Lage sein, die Protokollierung des App Privacy Report zu umgehen
Beschreibung: Dieses Problem wurde mit zusätzlichen Berechtigungsprüfungen behoben.
CVE-2026-28873: Guy Dor

Schneller Blick
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Das Parsen einer in böser Absicht erstellten Datei kann zu einem unerwarteten Beenden der App führen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2026-43656: Peter Malone

SceneKit
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein entfernter Angreifer kann möglicherweise eine unerwartete Beendigung der App verursachen
Beschreibung: Ein Pufferüberlauf wurde mit einer verbesserten Grenzüberprüfung behoben.
CVE-2026-28846: Peter Malone

Shortcuts
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise auf benutzersensible Daten zugreifen
Beschreibung: Dieses Problem wurde behoben, indem eine zusätzliche Aufforderung zur Zustimmung des Benutzers hinzugefügt wurde.
CVE-2026-28993: Doron Assness

*(Siri*)
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise Berechtigungen ausweiten
Beschreibung: Ein Logikproblem wurde mit verbesserten Überprüfungen behoben.

Statusleiste
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise den Bildschirm eines Benutzers erfassen
Beschreibung: Ein Problem mit dem Zugriff von Apps auf Kamera-Metadaten wurde mit verbesserter Logik behoben.
CVE-2026-28957: Adriatik Raci

WebKit
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann verhindern, dass die Inhaltssicherheitsrichtlinie durchgesetzt wird
Beschreibung: Das Problem wurde mit einer verbesserten Eingabevalidierung behoben.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina

WebKit
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann verhindern, dass die Inhaltssicherheitsrichtlinie durchgesetzt wird
Beschreibung: Ein Validierungsproblem wurde mit einer verbesserten Logik behoben.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina

WebKit
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung bösartig gestalteter Webinhalte kann zu einem unerwarteten Prozessabsturz führen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Daniel Rhea, Anonymous in Zusammenarbeit mit TrendAI Zero Day Initiative
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit-Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit-Bugzilla: 310880
CVE-2026-28955: wac und Kookhwan Lee arbeiten mit TrendAI Zero Day Initiative
WebKit-Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi

WebKit
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.
WebKit Bugzilla: 309698
CVE-2026-28962: Vitaly Simonovich, Vaagn Vardanian, Luke Francis, kwak kiyong / kakaogames, greenbynox, Adel Bouachraoui

Wi-Fi
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App könnte in der Lage sein, beliebigen Code mit Kernel-Rechten auszuführen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2026-28819: Wang Yu

Wi-Fi
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein Angreifer, der sich in einer privilegierten Netzwerkposition befindet, kann möglicherweise einen Denial-of-Service-Angriff mit manipulierten Wi-Fi-Paketen durchführen
Beschreibung: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2026-28994: Alex Radocea

(*zlib)
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Der Besuch einer in böser Absicht gestalteten Website kann sensible Daten preisgeben
Beschreibung: Ein Informationsleck wurde durch zusätzliche Validierung behoben.
CVE-2026-28920: Brendon Tiszka von Google Project Zero

Accounts
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise auf sensible Nutzerdaten zugreifen
Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2026-28877: Rosyna Keller von Totally Not Malicious Software

Kernel
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Eine App kann möglicherweise einen unerwarteten Systemabbruch verursachen
Beschreibung: Eine Wettlaufsituation wurde mit zusätzlicher Validierung behoben.
CVE-2026-28986: Tristan Madani (@TristanInSec) von Talence Security, Ryan Hileman über Xint Code (xint.io), Chris Betz

mDNSResponder
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Ein Angreifer im lokalen Netzwerk kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Out-of-bounds-Schreibproblem wurde mit einer verbesserten Bound-Checking-Funktion behoben.
CVE-2026-43666: Ian van der Wurff (ian.nl)

WebKit
Verfügbar für: iPhone XS, iPhone XS Max, iPhone XR, iPad 7. Generation
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann verhindern, dass die Inhaltssicherheitsrichtlinie durchgesetzt wird
Beschreibung: Ein Validierungsproblem wurde mit einer verbesserten Logik behoben.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina