.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Tietoja iOS 26.5:n ja iPadOS 26.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 26.5:n ja iPadOS 26.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 26.5 ja iPadOS 26.5

Julkaistu 11.5.2026

Accelerate

Saatavuus: iPhone 11 ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28988: Asaf Cohen

APFS

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28959: Dave G.

App Intents

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) Reverse Societylle

AppleJPEG

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2026-1837

AppleJPEG

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28956: impost0r (ret2plt)

Audio

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39869: David Ige (Beryllium Security)

CoreAnimation

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner ja Riccardo Paccagnella

CoreServices

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28936: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

CoreSymbolication

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28918: Niels Hofmans, nimetön yhteistyössä TrendAI Zero Day Initiativen kanssa

FileProvider

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-43659: Alex Radocea

ImageIO

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43661: nimetön tutkija

ImageIO

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-28977: Suresh Sundaram

ImageIO

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43655: Somair Ansar ja nimetön tutkija

Kernel

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla saapuvien tietojen tarkistusta.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.), Robert Tran, Aswin Kumar Gokulakannan

Kernel

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28951: Csaba Fitzl (@theevilbit, Iru)

Kernel

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28972: Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.), Ryan Hileman Xint Coden (xint.io) kautta

Kernel

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec, Talence Security), Ryan Hileman Xint Coden (xint.io) kautta

Kernel

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43653: Atul R V

mDNSResponder

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28940: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

Networking

Vaikutus: Hyökkääjä saattoi pystyä seuraamaan käyttäjiä IP-osoitteen kautta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-43656: Peter Malone

SceneKit

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28846: Peter Malone

Screenshots

Saatavuus: iPhone 15 ja uudemmat

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Visual Intelligenceä arkaluonteisiin käyttäjätietoihin pääsyyn iPhone-peilauksen aikana.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2026-28963: Jorge Welch

Shortcuts

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2026-28993: Doron Assness

Spotlight

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2026-28974: Andy Koo (@andykoo, Hexens)

Status Bar

Vaikutus: Sovellus saattoi pystyä ottamaan kuvan käyttäjän näytöstä.

Kuvaus: Kameran metatietojen käyttöoikeusongelma apeissa on korjattu parantamalla logiikkaa.

CVE-2026-28957: Adriatik Raci

Storage

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28996: Alex Radocea

WebKit

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui ja greenbynox

WebKit

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu ja Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), nimetön yhteistyössä TrendAI Zero Day Initiativen kanssa, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: nimimerkki wac ja Kookhwan Lee yhteistyössä TrendAI Zero Day Initiativen kanssa

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec, Talence Security), Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aislen Offensive Security -tutkimustiimi (Joshua Rogers, Luigino Camastra, Igor Morgenstern ja Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)

WebKit Bugzilla: 311631

CVE-2026-28913: nimetön tutkija

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr ja Nicholas Carlini yhteistyössä Clauden (Anthropic) kanssa

WebKit

Vaikutus: haitallinen iframe saattoi käyttää toisen verkkosivuston latausasetuksia.

Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu (Palo Alto Networks), Jérôme DJOUDER, dr3dd

Wi-Fi

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Wi-Fi-paketteja.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28994: Alex Radocea

WidgetKit

Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: tietosuojaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia, Safran Mumbai India)

zlib

Vaikutus: haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Kiitokset

App Intents

Haluamme kiittää avusta Mikael Kinnmania.

Apple Account

Haluamme kiittää avusta Iván Savranskya ja YingQi Shi (@Mas0nShi) (DBAppSecurityn WeBin-laboratorio).

Audio

Haluamme kiittää avusta Brian Carpenteria.

AuthKit

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

CoreUI

Haluamme kiittää avusta Mustafa Calapia.

ICU

Haluamme kiittää avusta nimetöntä tutkijaa.

Kernel

Haluamme kiittää avusta Ryan Hilemania Xint Coden (xint.io) kautta, Suresh Sundaramia ja nimetöntä tutkijaa.

libnetcore

Haluamme kiittää avusta Chris Staitea ja David Hardya (Menlo Security Inc).

Libnotify

Haluamme kiittää avusta Ilias Moradia (@A2nkF_).

Location

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).

Mail

Haluamme kiittää avusta Himanshu Bhartia (@Xpl0itme, Khatima).

mDNSResponder

Haluamme kiittää avusta Jason Grovea.

Messages

Haluamme kiittää avusta Bishal Kaflea ja Jeffery Kimbrowia.

Multi-Touch

Haluamme kiittää avusta Asaf Cohenia.

Notes

Haluamme kiittää avusta Asilbek Salimovia ja Mohamed Althafia.

Photos

Haluamme kiittää avusta Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) ja Christopher Mathewsia.

Safari Private Browsing

Haluamme kiittää avusta Dalibor Milanovicia.

Shortcuts

Haluamme kiittää avusta Jacob Prezantia (prezant.us).

Siri

Haluamme kiittää avusta Yoav Magidia.

UIKit

Haluamme kiittää avusta Shaheen Fazimia.

WebKit

Haluamme kiittää avusta Muhammad Zaid Ghifaria (Mr.ZheeV), Kalimantan Utaraa, Qadhafy Muhammad Teraa ja Vitaly Simonovichia.

WebRTC

Haluamme kiittää avusta Hyeonji Sonia (@jir4vv1t, Demon Team).

Wi-Fi

Haluamme kiittää avusta Yusuf Kelanya.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 15. toukokuuta 2026