.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Informationen zum Sicherheitsinhalt von iOS 26.5 und iPadOS 26.5

In diesem Dokument wird der Sicherheitsinhalt von iOS 26.5 und iPadOS 26.5 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 26.5 und iPadOS 26.5

Veröffentlicht am 11. Mai 2026

Accelerate

Verfügbar für: iPhone 11 und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Auswirkung: Bestimmte Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2026-28988: Asaf Cohen

APFS

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28959: Dave G.

App Intents

Auswirkung: Eine bösartige App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) für Reverse Society

AppleJPEG

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2026-1837

AppleJPEG

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28956: impost0r (ret2plt)

Audio

Auswirkung: Die Verarbeitung eines Audiostroms in einer in böser Absicht erstellten Mediendatei kann den Prozess beenden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-39869: David Ige von Beryllium Security

CoreAnimation

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg von Nosebeard Labs

CoreSymbolication

Auswirkung: Die Analyse einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28918: Niels Hofmans, anonym in Zusammenarbeit mit TrendAI Zero Day Initiative

FileProvider

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2026-43659: Alex Radocea

ImageIO

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann den Prozessspeicher beschädigen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-43661: ein anonymer Forscher

ImageIO

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28977: Suresh Sundaram

ImageIO

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann den Prozessspeicher beschädigen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Auswirkungen: Ein Angreifer kann möglicherweise einen unerwarteten App-Abbruch verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Auswirkung: Eine App kann möglicherweise das Layout des Kernelspeichers ermitteln.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder den Kernel-Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-43655: Somair Ansar und ein anonymer Forscher

Kernel

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong und Pan Zhenpeng (@Peterpan0927) von STAR Labs SG Pte. Ltd., Robert Tran, Aswin Kumar Gokulakannan

Kernel

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-28951: Csaba Fitzl (@theevilbit) von Iru

Kernel

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28972: Billy Jheng Bing Jhong und Pan Zhenpeng (@Peterpan0927) von STAR Labs SG Pte. Ltd., Ryan Hileman über Xint Code (xint.io)

Kernel

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) von Talence Security, Ryan Hileman über Xint Code (xint.io)

Kernel

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-43653: Atul R V

mDNSResponder

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Auswirkung: Ein entfernter Angreifer kann möglicherweise einen unerwarteten Systemabbruch oder einen Fehler beim Kernelspeicher verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann den Prozessspeicher beschädigen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28940: Michael DePlante (@izobashi) von TrendAI Zero Day Initiative

Networking

Auswirkung: Ein Angreifer ist möglicherweise imstande, Benutzer über ihre IP-Adresse zu verfolgen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Auswirkung: Die Analyse einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2026-43656: Peter Malone

SceneKit

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten App-Abbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2026-28846: Peter Malone

Screenshots

Verfügbar für: iPhone 15 und neuer

Auswirkung: Ein Angreifer mit physischem Zugriff kann möglicherweise mithilfe von Visual Intelligence beim Spiegeln eines iPhone auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Datenschutzproblem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2026-28963: Jorge Welch

Shortcuts

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde behoben, indem eine zusätzliche Eingabeaufforderung für die Benutzerzustimmung hinzugefügt wurde.

CVE-2026-28993: Doron Assness

Spotlight

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2026-28974: Andy Koo (@andykoo) von Hexens

Status Bar

Auswirkung: Eine App kann eine Bildschirmaufnahme eines Benutzers erstellen

Beschreibung: Ein Problem mit dem App-Zugriff auf Kamerametadaten wurde durch eine verbesserte Logik behoben.

CVE-2026-28957: Adriatik Raci

Storage

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2026-28996: Alex Radocea

WebKit

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zur Aushebelung der Inhaltssicherheitsrichtlinie führen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zur Aushebelung der Inhaltssicherheitsrichtlinie führen.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu und Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonym in Zusammenarbeit mit TrendAI Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac und Kookhwan Lee in Zusammenarbeit mit TrendAI Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) von Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aisle Offensive Security Research Team (Joshua Rogers, Luigino Camastra, Igor Morgenstern und Guido Vranken), Maher Azzouzi, Ngan Nguyen von Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: ein anonymer Forscher

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr und Nicholas Carlini mit Claude, Anthropic

WebKit

Auswirkung: Ein bösartiger iframe kann die Download-Einstellungen einer anderen Website benutzen

Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu von Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition könnte mithilfe manipulierter WLAN-Pakete einen Denial-of-Service-Angriff durchführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2026-28994: Alex Radocea

WidgetKit

Auswirkung: Benutzer können möglicherweise eingeschränkten Inhalt auf dem Sperrbildschirm anzeigen.

Beschreibung: Ein Datenschutzproblem wurde durch verbesserte Prüfungen behoben.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) von Safran Mumbai India

zlib

Auswirkung: Durch den Besuch einer in böser Absicht erstellten Website können vertrauliche Daten offengelegt werden.

Beschreibung: Ein Datenleck wurde durch eine zusätzliche Validierung behoben.

CVE-2026-28920: Brendon Tiszka von Google Project Zero

Zusätzliche Danksagung

App Intents

Wir möchten uns bei Mikael Kinnman für die Unterstützung bedanken.

Apple Account

Wir möchten uns bei Iván Savransky, YingQi Shi (@Mas0nShi) von DBAppSecurity's WeBin lab für die Unterstützung bedanken.

Audio

Wir möchten uns bei Brian Carpenter für die Unterstützung bedanken.

AuthKit

Wir möchten uns bei Gongyu Ma (@Mezone0) für die Unterstützung bedanken.

CoreUI

Wir möchten uns bei Mustafa Calap für die Unterstützung bedanken.

ICU

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Ryan Hileman über Xint Code (xint.io), Suresh Sundaram, einen anonymen Forscher für die Unterstützung bedanken.

libnetcore

Wir möchten uns bei Chris Staite und David Hardy von Menlo Security Inc. für die Unterstützung bedanken.

Libnotify

Wir möchten uns bei Ilias Morad (@A2nkF_) für die Unterstützung bedanken.

Location

Wir möchten uns bei Kun Peeks (@SwayZGl1tZyyy) für die Unterstützung bedanken.

Mail

Wir möchten uns bei Himanshu Bharti (@Xpl0itme) von Khatima für die Unterstützung bedanken.

mDNSResponder

Wir möchten uns bei Jason Grove für die Unterstützung bedanken.

Messages

Wir möchten uns bei Bishal Kafle, Jeffery Kimbrow für die Unterstützung bedanken.

Multi-Touch

Wir möchten uns bei Asaf Cohen für die Unterstützung bedanken.

Notes

Wir möchten uns bei Asilbek Salimov, Mohamed Althaf für die Unterstützung bedanken.

Photos

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) von Safran Mumbai India, Christopher Mathews für die Unterstützung bedanken.

Safari Private Browsing

Wir möchten uns bei und Dalibor Milanovic für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Jacob Prezant (prezant.us) für die Unterstützung bedanken.

Siri

Wir möchten uns bei Yoav Magid für die Unterstützung bedanken.

UIKit

Wir möchten uns bei Shaheen Fazim für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich für die Unterstützung bedanken.

WebRTC

Wir möchten uns bei Hyeonji Son (@jir4vv1t) von Demon Team für die Unterstützung bedanken.

Wi-Fi

Wir möchten uns bei Yusuf Kelany für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: Mai 15, 2026