.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Acerca del contenido de seguridad de iOS 26.5 y iPadOS 26.5

En este documento se describe el contenido de seguridad de iOS 26.5 y iPadOS 26.5.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 26.5 y iPadOS 26.5

Publicado el 11 de mayo de 2026

Accelerate

Disponible para: iPhone 11 y modelos posteriores, iPad Pro de 12,9 pulgadas (3.ª generación y modelos posteriores), iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (8.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Impacto: una app podría evitar ciertas preferencias de privacidad.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2026-28988: Asaf Cohen

APFS

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2026-28959: Dave G.

App Intents

Impacto: una app maliciosa podría salir de su zona restringida

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) para Reverse Society

AppleJPEG

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2026-1837

AppleJPEG

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2026-28956: impost0r (ret2plt)

Audio

Impacto: el procesamiento de un flujo de audio en un archivo multimedia creado con fines malintencionados puede detener el proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-39869: David Ige de Beryllium Security

CoreAnimation

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2026-28936: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs

CoreSymbolication

Impacto: el análisis de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2026-28918: Niels Hofmans, un investigador anónimo que trabaja para TrendAI Zero Day Initiative

FileProvider

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2026-43659: Alex Radocea

ImageIO

Impacto: procesar una imagen creada con fines malintencionados podría corromper la memoria de procesos.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2026-43661: un investigador anónimo

ImageIO

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2026-28977: Suresh Sundaram

ImageIO

Impacto: procesar una imagen creada con fines malintencionados podría corromper la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Impacto: un atacante podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Impacto: una app podría ser capaz de determinar el diseño de la memoria de kernel.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2026-28943: Grupo de análisis de amenazas de Google

IOKit

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Impacto: una app podría provocar el cierre inesperado del sistema o la lectura de la memoria del kernel.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2026-43655: Somair Ansar y un investigador anónimo

Kernel

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación de entrada.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2026-28951: Csaba Fitzl (@theevilbit) de Iru

Kernel

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman mediante Xint Code (xint.io)

Kernel

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman mediante Xint Code (xint.io)

Kernel

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Impacto: un atacante remoto podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-43653: Atul R V

mDNSResponder

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o dañar la memoria del kernel.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Impacto: procesar una imagen creada con fines malintencionados podría corromper la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28940: Michael DePlante (@izobashi) de TrendAI Zero Day Initiative

Networking

Impacto: un atacante podría hacer un seguimiento de los usuarios mediante sus direcciones IP.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Impacto: el análisis de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2026-43656: Peter Malone

SceneKit

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2026-28846: Peter Malone

Screenshots

Disponible para: iPhone 15 y modelos posteriores

Impacto: un atacante con acceso físico puede ser capaz de utilizar Inteligencia visual para acceder a datos sensibles del usuario durante una sesión de Duplicación del iPhone.

Descripción: se ha solucionado un problema de privacidad eliminando el código vulnerable.

CVE-2026-28963: Jorge Welch

Shortcuts

Impacto: una app podría acceder a datos confidenciales de los usuarios

Descripción: este problema se ha solucionado añadiendo una solicitud adicional de consentimiento del usuario.

CVE-2026-28993: Doron Assness

Spotlight

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: este problema se ha solucionado mejorando las comprobaciones para evitar acciones no autorizadas.

CVE-2026-28974: Andy Koo (@andykoo) de Hexens

Status Bar

Impacto: una app podría capturar la pantalla de un usuario.

Descripción: se ha solucionado un problema con el acceso de aplicaciones a los metadatos de la cámara mejorando la lógica.

CVE-2026-28957: Adriatik Raci

Storage

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2026-28996: Alex Radocea

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de validación mejorando la lógica.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría revelar información confidencial del usuario.

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong/kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu y Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), un investigador anónimo que trabaja para TrendAI Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac y Kookhwan Lee, en colaboración con TrendAI Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) de Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Equipo de seguridad ofensiva de AISLE (Joshua Rogers, Luigino Camastra, Igor Morgenstern, and Guido Vranken), Maher Azzouzi, Ngan Nguyen de Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: un investigador anónimo

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado con una protección de datos mejorada.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr y Nicholas Carlini de Claude, Anthropic

WebKit

Impacto: un iframe malicioso podría usar los ajustes de descarga de otro sitio web.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu de Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Impacto: un atacante en una posición de red privilegiada podría implementar un ataque de denegación de servicio mediante paquetes wifi creados.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28994: Alex Radocea

WidgetKit

Impacto: un usuario podría ver contenido restringido desde la pantalla de bloqueo.

Descripción: se ha solucionado un problema de privacidad mejorando las comprobaciones.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India

zlib

Impacto: al visitar un sitio web creado con fines malintencionados podría filtrarse información sensible.

Descripción: se solucionó una filtración de información mediante una validación adicional.

CVE-2026-28920: Brendon Tiszka de Google Project Zero

Otros agradecimientos

App Intents

Queremos dar las gracias a Mikael Kinnman por su ayuda.

Apple Account

Queremos dar las gracias a Iván Savransky y YingQi Shi (@Mas0nShi) del laboratorio WeBin de DBAppSecurity por su ayuda.

Audio

Queremos dar las gracias a Brian Carpenter por su ayuda.

AuthKit

Queremos dar las gracias a Gongyu Ma (@Mezone0) por su ayuda.

CoreUI

Queremos dar las gracias a Mustafa Calap por su ayuda.

ICU

Queremos dar las gracias a un investigador anónimo por su ayuda.

Kernel

Queremos dar las gracias a Ryan Hileman mediante Xint Code (xint.io), Suresh Sundaram y un investigador anónimo por su ayuda.

libnetcore

Queremos dar las gracias a Chris Staite y David Hardy de Menlo Security Inc por su ayuda.

Libnotify

Queremos dar las gracias a Ilias Morad (@A2nkF_) por su ayuda.

Location

Nos gustaría agradecer a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.

Mail

Queremos dar las gracias a Himanshu Bharti (@Xpl0itme) de Khatima por su ayuda.

mDNSResponder

Queremos dar las gracias a Jason Grove por su ayuda.

Messages

Queremos dar las gracias a Bishal Kafle, Jeffery Kimbrow por su ayuda.

Multi-Touch

Queremos dar las gracias a Asaf Cohen por su ayuda.

Notes

Queremos dar las gracias a Asilbek Salimov y Mohamed Althaf por su ayuda.

Photos

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India y Christopher Mathews por su ayuda.

Safari Private Browsing

Queremos dar las gracias a Dalibor Milanovic por su ayuda.

Shortcuts

Queremos dar las gracias a Jacob Prezant (prezant.us) por su ayuda.

Siri

Queremos dar las gracias a Yoav Magid por su ayuda.

UIKit

Queremos dar las gracias por su ayuda a Shaheen Fazim.

WebKit

Queremos dar las gracias a Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera y Vitaly Simonovich por su ayuda.

WebRTC

Queremos dar las gracias a Hyeonji Son (@jir4vv1t) de Demon Team por su ayuda.

Wi-Fi

Queremos dar las gracias a Yusuf Kelany por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 15 de mayo de 2026