L'11 maggio, in parallelo al rilascio pubblico di iOS 26.5, Apple ha distribuito un pacchetto coordinato di aggiornamenti di sicurezza per i dispositivi che non possono eseguire iOS 26. Il più sostanzioso è iOS 18.7.9 e iPadOS 18.7.9, che copre più di 50 vulnerabilità su iPhone XS, XS Max, XR e iPad settima generazione: i modelli più recenti esclusi da iOS 26, che richiede iPhone 11 o successivi.
Il perimetro degli aggiornamenti
Apple ha aggiornato quattro rami distinti contemporaneamente:
- iOS 18.7.9 e iPadOS 18.7.9: iPhone XS, XS Max, XR; iPad settima generazione. 50+ CVE corretti.
- iPadOS 17.7.11: iPad Pro 12.9" seconda generazione, iPad Pro 10.5", iPad sesta generazione.
- iOS 16.7.16 e iPadOS 16.7.16: iPhone 8, 8 Plus, X; iPad quinta generazione e modelli precedenti di iPad Pro.
- iOS 15.8.8 e iPadOS 15.8.8: iPhone 6s, 7, SE prima generazione; iPad Air 2; iPad mini quarta generazione; iPod touch settima generazione.
Per macOS, Apple ha rilasciato macOS Sequoia 15.7.7 e macOS Sonoma 14.8.7 per i Mac non compatibili con macOS Tahoe 26. Il contenuto di sicurezza dettagliato per queste due versioni era ancora parziale al momento del rilascio.
Le vulnerabilità più critiche in iOS 18.7.9
Il volume — oltre 50 CVE su un ramo secondario — è insolito. Le vulnerabilità più rilevanti riguardano componenti del sistema operativo di base:
CVE-2026-28951 (Kernel): un problema di autorizzazione permette a un’app di ottenere privilegi root. È la vulnerabilità più critica del pacchetto.
CVE-2026-28819 (Wi-Fi): un’out-of-bounds write nel componente Wi-Fi consente l’esecuzione di codice arbitrario con privilegi kernel. L’exploitabilità dipende dall’accesso alla rete o alla sessione Wi-Fi del dispositivo.
CVE-2026-28995 (App Intents): un difetto logico consente a un’app malevola di uscire dal sandbox applicativo. È la stessa superficie colpita nel pacchetto iOS 26.5.
CVE-2026-43668 (mDNSResponder): una use-after-free consente a un attaccante remoto di causare la terminazione inattesa del sistema.
CVE-2026-28972 (Kernel): un’out-of-bounds write può portare alla terminazione del sistema o alla scrittura in memoria kernel.
Le CVE WebKit — tra cui CVE-2026-43660, CVE-2026-43659 e CVE-2026-43656 — riguardano crash del processo browser e potenziale divulgazione di informazioni tramite contenuto web. Su un iPhone XR o XS ancora su iOS 18, Safari è il principale vettore di attacco accessibile da remoto senza interazione fisica.
Un dettaglio importante: molte di queste CVE coincidono con quelle corrette in iOS 26.5. Apple ha eseguito il backport delle stesse correzioni su entrambi i rami, il che conferma che le vulnerabilità riguardano implementazioni condivise nei componenti di sistema, non codice specifico di iOS 26.
Perché la base installata iOS 18 è ancora rilevante
iPhone XS e XR sono usciti nel 2018. Sono dispositivi di otto anni che non riceveranno mai iOS 26. Ma sono ancora in uso — in contesti consumer, aziendali e MDM dove i cicli di sostituzione hardware sono lunghi — e continuano a essere target di app in distribuzione sull’App Store.
Per chi sviluppa app, questo aggiornamento non cambia nulla a livello di API o comportamento. Il punto operativo è diverso: i dispositivi su iOS 18 nella base installata restano esposti a vulnerabilità kernel e WebKit fino a quando non vengono aggiornati, e non tutti i contesti enterprise hanno policy di aggiornamento OS stringenti.
Chi gestisce deployment MDM con dispositivi su iOS 18 o macOS Sequoia/Sonoma dovrebbe considerare questi aggiornamenti prioritari, in particolare per CVE-2026-28951 (root kernel) e CVE-2026-28995 (sandbox escape). Non è necessario un’azione a livello di codice app — la patch è nell’OS — ma il deployment va pianificato e verificato.
Gap con iOS 26.5
iOS 18.7.9 corregge 50+ CVE. iOS 26.5, rilasciato lo stesso giorno, ne corregge 90+. Il delta riflette la divergenza dei due rami: il codice iOS 26 contiene funzionalità e componenti che iOS 18 non ha, e alcune delle vulnerabilità di iOS 26.5 non hanno corrispondenza in iOS 18 semplicemente perché le superfici interessate non esistono nella versione più vecchia. Non significa che iOS 18 sia più sicuro: significa che i due rami hanno profili di rischio sempre più differenti.
Il prossimo punto da osservare: se Apple accelererà o ridurrà la frequenza dei backport di sicurezza su iOS 18 con l’avanzare di iOS 27. Il precedente suggerisce che il ramo iOS 18 resterà attivo almeno per tutto il 2026, ma il gap con il ramo principale tenderà ad allargarsi a ogni ciclo.
