.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Om sikkerhedsindholdet i iOS 26.5 og iPadOS 26.5

I dette dokument beskrives sikkerhedsindholdet i iOS 26.5 og iPadOS 26.5.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 26.5 ag nd iPadOS 26.5

Udgivet 11. maj 2026

Accelerate

Fås til: iPhone 11 og nyere, iPad Pro 12,9" 3. generation og nyere, iPad Pro 11" 1. generation og nyere, iPad Air 3. generation og nyere, iPad 8. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Effekt: En app kan muligvis omgå visse indstillinger for anonymitet

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2026-28988: Asaf Cohen

APFS

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2026-28959: Dave G.

App Intents

Effekt: En skadelig app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) for Reverse Society

AppleJPEG

Effekt: Behandling af et skadeligt billede kan medføre DoS (denial-of-service)

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2026-1837

AppleJPEG

Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret inputvalidering.

CVE-2026-28956: impost0r (ret2plt)

Audio

Effekt: Behandling af en lydstream i et skadeligt mediearkiv kan afbryde processen

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-39869: David Ige fra Beryllium Security

CoreAnimation

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2026-28936: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

CoreSymbolication

Effekt: Parsing af et skadeligt arkiv kan medføre en uventet applukning

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2026-28918: Niels Hofmans, anonym der arbejder med TrendAI Zero Day Initiative

FileProvider

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2026-43659: Alex Radocea

ImageIO

Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af proceshukommelse

Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.

CVE-2026-43661: en anonym programmør

ImageIO

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2026-28977: Suresh Sundaram

ImageIO

Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af proceshukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Effekt: En hacker kan forårsage uventet applukning

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er løst via forbedret låsning.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Effekt: En app kan muligvis fastslå opsætningen af kernehukommelsen

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Effekt: En app kan forårsage uventet systemlukning eller læsning af kernehukommelsen

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2026-43655: Somair Ansar og en anonym programmør

Kernel

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret inputvalidering.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-28951: Csaba Fitzl (@theevilbit) fra Iru

Kernel

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2026-28972: Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) fra Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-43653: Atul R V

mDNSResponder

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af proceshukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-28940: Michael DePlante (@izobashi) fra TrendAI Zero Day Initiative

Networking

Effekt: Hackere kan muligvis spore brugere via deres IP-adresse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Effekt: Parsing af et skadeligt arkiv kan medføre en uventet applukning

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2026-43656: Peter Malone

SceneKit

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2026-28846: Peter Malone

Screenshots

Tilgængelig til: iPhone 15 og nyere

Effekt: En hacker med fysisk adgang kan muligvis bruge visuel intelligens til at få adgang til følsomme brugerdata under iPhone-dublering

Beskrivelse: Et anonymitetsproblem er løst ved at fjerne den sårbare kode.

CVE-2026-28963: Jorge Welch

Shortcuts

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.

CVE-2026-28993: Doron Assness

Spotlight

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.

CVE-2026-28974: Andy Koo (@andykoo) fra Hexens

Status Bar

Effekt: En app kan tage et billede af en brugers skærm

Beskrivelse: Et problem med appadgang til kameraets metadata blev løst via forbedret logik.

CVE-2026-28957: Adriatik Raci

Storage

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2026-28996: Alex Radocea

WebKit

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Problemet er løst via forbedret validering af input.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Effekt: Behandling af skadeligt webindhold kan medføre afsløring af følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu, og Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), en anonym der arbejder med TrendAI Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac og Kookhwan Lee der arbejder med TrendAI Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) fra Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Forskningsteamet for offensiv sikkerhed hos Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern, og Guido Vranken), Maher Azzouzi, Ngan Nguyen fra Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: en anonym programmør

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret validering af input.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr og Nicholas Carlini sammen med Claude, Anthropic

WebKit

Effekt: En skadelig iframe kan bruge et andet websteds downloadindstillinger

Beskrivelse: Problemet er løst via forbedret håndtering af brugergrænsefladen.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu fra Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Effekt: En hacker i en privilegeret netværksposition kan muligvis udføre DoS-angreb (Denial-of-Service) ved hjælp af skadelige wi-fi-pakker

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2026-28994: Alex Radocea

WidgetKit

Effekt: En bruger kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Et anonymitetsproblem er løst via forbedret kontrol.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India

zlib

Effekt: Et besøg på et skadeligt websted kan medføre afsløring af følsomme data

Beskrivelse: Et problem med lækage af oplysninger blev løst via yderligere validering.

CVE-2026-28920: Brendon Tiszka fra Google Project Zero

Yderligere anerkendelser

App Intents

Vi vil gerne takke Mikael Kinnman for hjælpen.

Apple Account

Vi vil gerne takke Iván Savransky, YingQi Shi (@Mas0nShi) fra DBAppSecurity's WeBin lab for hjælpen.

Audio

Vi vil gerne takke Brian Carpenter for hjælpen.

AuthKit

Vi vil gerne takke Gongyu Ma (@Mezone0) for hjælpen.

CoreUI

Vi vil gerne takke Mustafa Calap for hjælpen.

ICU

Vi vil gerne takke en anonym programmør for hjælpen.

Kernel

Vi vil gerne takke Ryan Hileman via Xint Code (xint.io), Suresh Sundaram, en anonym programmør for hjælpen.

libnetcore

Vi vil gerne takke Chris Staite og David Hardy fra Menlo Security Inc for hjælpen.

Libnotify

Vi vil gerne takke Ilias Morad (@A2nkF_) for hjælpen.

Location

Vi vil gerne takke Kun Peeks (@SwayZGl1tZyyy) for hjælpen.

Mail

Vi vil gerne takke Himanshu Bharti (@Xpl0itme) fra Khatima for hjælpen.

mDNSResponder

Vi vil gerne takke Jason Grove for hjælpen.

Messages

Vi vil gerne takke Bishal Kafle, Jeffery Kimbrow for hjælpen.

Multi-Touch

Vi vil gerne takke Asaf Cohen for hjælpen.

Notes

Vi vil gerne takke Asilbek Salimov, Mohamed Althaf for hjælpen.

Photos

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India, Christopher Mathews for hjælpen.

Safari Private Browsing

Vi vil gerne takke Dalibor Milanovic for hjælpen.

Shortcuts

Vi vil gerne takke Jacob Prezant (prezant.us) for hjælpen.

Siri

Vi vil gerne takke Yoav Magid for hjælpen.

UIKit

Vi vil gerne takke Shaheen Fazim for hjælpen.

WebKit

Vi vil gerne takke Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich for hjælpen.

WebRTC

Vi vil gerne takke Hyeonji Son (@jir4vv1t) fra Demon Team for hjælpen.

Wi-Fi

Vi vil gerne takke Yusuf Kelany for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 15. maj 2026