.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Informace o bezpečnostním obsahu iOS 26.5 a iPadOS 26.5

Tento dokument popisuje bezpečnostní obsah iOS 26.5 a iPadOS 26.5.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 26.5 a iPadOS 26.5

Vydáno 11. května 2026

Accelerate

K dispozici pro: iPhone 11 a novější, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 8. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2026-28988: Asaf Cohen

APFS

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28959: Dave G.

App Intents

Dopad: Škodlivé aplikaci se může podařit dostat se ze sandboxu.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) za Reverse Society

AppleJPEG

Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2026-1837

AppleJPEG

Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dopad: Zpracování audio streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-39869: David Ige z Beryllium Security

CoreAnimation

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2026-28936: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs

CoreSymbolication

Dopad: Parsování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2026-28918: Niels Hofmans, anonymní ve spolupráci se Zero Day Initiative společnosti TrendAI

FileProvider

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2026-43659: Alex Radocea

ImageIO

Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

CVE-2026-43661: anonymní výzkumník

ImageIO

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-43655: Somair Ansar a anonymní výzkumník

Kernel

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dopad: Místnímu uživateli se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupu.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-28951: Csaba Fitzl (@theevilbit) ze společnosti Iru

Kernel

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd., Ryan Hileman prostřednictvím Xint Code (xint.io)

Kernel

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) z Talence Security, Ryan Hileman prostřednictvím Xint Code (xint.io)

Kernel

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Dopad: Útočníkovi v místní síti se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-43653: Atul R V

mDNSResponder

Dopad: Útočníkovi v místní síti se může podařit způsobit odmítnutí služby.

Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Dopad: Útočníkovi v místní síti se může podařit způsobit odmítnutí služby.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-28940: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti TrendAI

Networking

Dopad: Útočník může být schopný sledovat uživatele prostřednictvím jejich IP adres.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Dopad: Parsování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2026-43656: Peter Malone

SceneKit

Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2026-28846: Peter Malone

Screenshots

K dispozici pro: iPhone 15 a novější

Dopad: Útočníkovi s fyzickým přístupem se při používání Zrcadlení iPhonu může podařit dostat se pomocí Siri k citlivým uživatelským datům.

Popis: Problém se soukromím byl vyřešen odebráním zranitelného kódu.

CVE-2026-28963: Jorge Welch

Shortcuts

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Tento problém byl vyřešen přidáním další výzvy pro souhlas uživatele.

CVE-2026-28993: Doron Assness

Spotlight

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontrol, aby se zabránilo neautorizovaným akcím.

CVE-2026-28974: Andy Koo (@andykoo) ze společnosti Hexens

Status Bar

Dopad: Aplikaci se může podařit zachytit obrazovku uživatele.

Popis: Problém s přístupem aplikací k metadatům fotoaparátu byl vyřešen vylepšením logiky.

CVE-2026-28957: Adriatik Raci

Storage

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2026-28996: Alex Radocea

WebKit

Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.

Popis: Problém s ověřováním byl vyřešen vylepšením logiky.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.

Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k odhalení citlivých uživatelských informací.

Popis: Problém byl vyřešen vylepšením přístupových omezení.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu a Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonymní ve spolupráci se Zero Day Initiative společnosti TrendAI, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac a Kookhwan Lee ve spolupráci se Zero Day Initiative společnosti TrendAI

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) z Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: výzkumný tým Aisle pro ofenzivní zabezpečení (Joshua Rogers, Luigino Camastra, Igor Morgenstern a Guido Vranken), Maher Azzouzi, Ngan Nguyen z Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: anonymní výzkumník

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ochrany dat.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr a Nicholas Carlini pracující s Claude, Anthropic

WebKit

Dopad: Škodlivý iframe může použít nastavení stahování jiného webu.

Popis: Problém byl vyřešen vylepšením zpracování uživatelského rozhraní.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu z Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Dopad: Útočníkovi s privilegovanou pozicí v síti se může podařit pomocí upravených Wi-Fi paketů provést útok odmítnutím služeb.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-28994: Alex Radocea

WidgetKit

Dopad: Uživateli se může podařit zobrazit omezený obsah na zamčené obrazovce.

Popis: Problém s ochranou soukromí byl vyřešen vylepšením kontrol.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) ze společnosti Safran Mumbai India

zlib

Dopad: Návštěva škodlivého webu může vést k úniku citlivých dat.

Popis: Únik informací byl řešen dodatečným ověřením.

CVE-2026-28920: Brendon Tiszka z týmu Google Project Zero

Další poděkování

App Intents

Poděkování za pomoc zaslouží Mikael Kinnman.

Apple Account

Poděkování za pomoc zaslouží Iván Savransky, YingQi Shi (@Mas0nShi) z laboratoře WeBin společnosti DBAppSecurity.

Audio

Poděkování za pomoc zaslouží Brian Carpenter.

AuthKit

Poděkování za pomoc zaslouží Gongyu Ma (@Mezone0).

CoreUI

Poděkování za pomoc zaslouží Mustafa Calap.

ICU

Poděkování za pomoc zaslouží anonymní výzkumník.

Kernel

Poděkování za pomoc zaslouží Ryan Hileman prostřednictvím Xint Code (xint.io), Suresh Sundaram a anonymní výzkumník.

libnetcore

Poděkování za pomoc zaslouží Chris Staite a David Hardy z Menlo Security Inc.

Libnotify

Poděkování za pomoc zaslouží Ilias Morad (@A2nkF_).

Location

Poděkování za pomoc zaslouží Kun Peeks (@SwayZGl1tZyyy).

Mail

Poděkování za pomoc zaslouží Himanshu Bharti (@Xpl0itme) z týmu Khatima.

mDNSResponder

Poděkování za pomoc zaslouží Jason Grove.

Messages

Poděkování za pomoc zaslouží Bishal Kafle, Jeffery Kimbrow.

Multi-Touch

Poděkování za pomoc zaslouží Asaf Cohen.

Notes

Poděkování za pomoc zaslouží Asilbek Salimov, Mohamed Althaf.

Photos

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) ze společnosti Safran Mumbai India, Christopher Mathews.

Safari Private Browsing

Poděkování za pomoc zaslouží Dalibor Milanovic.

Shortcuts

Poděkování za pomoc zaslouží Jacob Prezant (prezant.us).

Siri

Poděkování za pomoc zaslouží Yoav Magid.

UIKit

Poděkování za pomoc zaslouží Shaheen Fazim.

WebKit

Poděkování za pomoc zaslouží Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.

WebRTC

Poděkování za pomoc zaslouží Hyeonji Son (@jir4vv1t) ze společnosti Demon Team.

Wi-Fi

Poděkování za pomoc zaslouží Yusuf Kelany.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: 15. května 2026