.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

מידע על תוכן האבטחה של iOS 26.5 ו-iPadOS 26.5

מסמך זה מתאר את תוכן האבטחה של iOS 26.5 ו-iPadOS 26.5.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

iOS 26.5 ו-iPadOS 26.5

הופצו ב‑11 במאי 2026

Accelerate

זמין עבור: iPhone 11 ואילך, iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שמיני ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-28991: ‏Seiji Sakurai ‏(‎@HeapSmasher)

Accounts

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28988: ‏Asaf Cohen

APFS

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28959:‏ Dave G.‎

App Intents

השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2026-28995: ‏Vamshi Paili, ‏Tony Gorez ‏(‎@tonygo_‎) עבור Reverse Society

AppleJPEG

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2026-1837

AppleJPEG

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2026-28956: ‏impost0r ‏(ret2plt)

Audio

השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול להביא לסיום התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-39869: ‏David Ige מ‑Beryllium Security

CoreAnimation

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28964: ‏Alan Wang, ‏Christopher W. Fletcher, ‏Hovav Shacham, ‏David Kohlbrenner, ‏Riccardo Paccagnella

CoreServices

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2026-28936: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

CoreSymbolication

השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-28918: ‏Niels Hofmans, ‏Anonymous בעבודה עם TrendAI Zero Day Initiative

FileProvider

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-43659:‏ Alex Radocea

ImageIO

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-43661: חוקר אנונימי

ImageIO

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2026-28977: ‏Suresh Sundaram

ImageIO

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28990: ‏Jiri Ha, ‏Arni Hardarson

IOHIDFamily

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.

CVE-2026-28992:‏ Johnny Franks‏ (‎@zeroxjf)

IOHIDFamily

השפעה: אפליקציה עשויה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28943: ‏Google Threat Analysis Group

IOKit

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-28969: ‏Mihalis Haatainen, ‏Ari Hawking, ‏Ashish Kunwar

IOSurfaceAccelerator

השפעה: יישום עלול להצליח לגרום לסגירה בלתי צפויה של המערכת או לקרוא זיכרון ליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-43655: ‏Somair Ansar וחוקר אנונימי

Kernel

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-43654: ‏Vaagn Vardanian, ‏Nathaniel Oh ‏(‎@calysteon)

Kernel

השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה

תיאור: גלישת חוצץ טופלה ואימות הקלט שופר.

CVE-2026-28897: ‏popku1337, ‏Billy Jheng Bing Jhong ו‑Pan Zhenpeng ‏(‎@Peterpan0927) מ‑STAR Labs SG Pte.‎ ‎Ltd.‎, ‏Robert Tran, ‏Aswin kumar Gokulakannan

Kernel

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28951: ‏Csaba Fitzl ‏(‎‏@theevilbit) מ-Iru

Kernel

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2026-28972: ‏Billy Jheng Bing Jhong ו‑Pan Zhenpeng ‏(‎@Peterpan0927) מ‑STAR Labs SG Pte.‎ ‎Ltd.‎, ‏Ryan Hileman באמצעות Xint Code ‏(xint.io)

Kernel

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-28986: ‏Chris Betz, ‏Tristan Madani ‏(‎@TristanInSec) מ‑Talence Security, ‏Ryan Hileman באמצעות Xint Code ‏(xint.io)

Kernel

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28987: ‏Dhiyanesh Selvaraj ‏(‎@redroot97)

LaunchServices

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2026-28983: ‏Ruslan Dautov

mDNSResponder

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-43653: Atul R V

mDNSResponder

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.

CVE-2026-28985: ‏Omar Cerrito

mDNSResponder

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-43668: ‏Anton Pakhunov, ‏Ricardo Prado

mDNSResponder

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-43666: ‏Ian van der Wurff ‏(ian.nl)

Model I/O

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28940: ‏Michael DePlante ‏(‎@izobashi) מ‑TrendAI Zero Day Initiative

Networking

השפעה: ייתכן שתוקף יוכל לעקוב אחר משתמשים באמצעות כתובת ה-IP שלהם

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28906: ‏Ilya Sc.‎ ‎Jowell A.‎

Quick Look

השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2026-43656: ‏Peter Malone

SceneKit

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של היישום

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2026-28846: ‏Peter Malone

Screenshots

זמין עבור: iPhone 15 ואילך

השפעה: תוקף בעל גישה פיזית עלול להשתמש ב'בינה ויזואלית' כדי לגשת לנתוני משתמש רגישים במהלך שיקוף ה‑iPhone

תיאור: בעיית פרטיות טופלה על-ידי הסרת הקוד הפגיע.

CVE-2026-28963: ‏Jorge Welch

Shortcuts

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2026-28993: ‏Doron Assness

Spotlight

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.

CVE-2026-28974: ‏Andy Koo ‏(‎@andykoo) מ‑Hexens

Status Bar

השפעה: ייתכן שאפליקציה תוכל לצלם מסך של משתמש

תיאור: בעיה בגישה של אפליקציה למטא-נתונים של המצלמה טופלה בעזרת לוגיקה משופרת.

CVE-2026-28957: אדריאטיק ראצי

Storage

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2026-28996:‏ Alex Radocea

WebKit

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

WebKit Bugzilla‏: 308906

CVE-2026-43660: ‏Cantina

WebKit

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

WebKit Bugzilla‏: 308675

CVE-2026-28907: ‏Cantina

WebKit

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לגילוי מידע רגיש של משתמשים

תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.

WebKit Bugzilla‏: 309698

CVE-2026-28962: ‏Luke Francis, ‏Vaagn Vardanian, ‏kwak kiyong / ‏kakaogames, ‏Vitaly Simonovich, ‏Adel Bouachraoui, ‏greenbynox

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 307669

CVE-2026-43658: ‏Do Young Park

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 308545

CVE-2026-28905: ‏Yuhao Hu, ‏Yuanming Lai, ‏Chenggang Wu ו‑Zhe Wang

WebKit Bugzilla‏: 308707

CVE-2026-28847: ‏DARKNAVY ‏(‎@DarkNavyOrg), ‏Anonymous בעבודה עם TrendAI Zero Day Initiative, ‏Daniel Rhea

WebKit Bugzilla‏: 309601

CVE-2026-28904: ‏Luka Rački

WebKit Bugzilla‏: 310880

CVE-2026-28955: ‏wac ו‑Kookhwan Lee בעבודה עם TrendAI Zero Day Initiative

WebKit Bugzilla‏: 310303

CVE-2026-28903: ‏Mateusz Krzywicki ‏(iVerify.io)

WebKit Bugzilla‏: 309628

CVE-2026-28953: ‏Maher Azzouzi

WebKit Bugzilla‏: 309861

CVE-2026-28902: ‏Tristan Madani ‏(‎@TristanInSec) מ‑Talence Security, ‏Nathaniel Oh ‏(‎@calysteon)

WebKit Bugzilla‏: 310207

CVE-2026-28901: ‏צוות המחקר לאבטחה התקפית ב‑Aisle ‏(Joshua Rogers, ‏Luigino Camastra, ‏Igor Morgenstern ו‑Guido Vranken), ‏Maher Azzouzi, ‏Ngan Nguyen מ‑Calif.io

WebKit Bugzilla‏: 311631

CVE-2026-28913: חוקר אנונימי

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 313939

CVE-2026-28883: ‏kwak kiyong / ‏kakaogames

WebKit

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

WebKit Bugzilla‏: 311228

CVE-2026-28958: ‏Cantina

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

WebKit Bugzilla‏: 310527

CVE-2026-28917: ‏Vitaly Simonovich

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 310234

CVE-2026-28947: ‏dr3dd

WebKit Bugzilla‏: 312180

CVE-2026-28942: ‏Milad Nasr ו‑Nicholas Carlini עם Claude, ‏Anthropic

WebKit

השפעה : IFrame זדוני עשוי להשתמש בהגדרות ההורדה של אתר אינטרנט אחר

תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.

WebKit Bugzilla‏: 311288

CVE-2026-28971: חים טראן

WebRTC

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 311131

CVE-2026-28944: ‏Kenneth Hsu מ‑Palo Alto Networks, ‏Jérôme DJOUDER, ‏dr3dd

Wi-Fi

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות Wi-Fi בעלות מבנה זדוני

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2026-28994:‏ Alex Radocea

WidgetKit

השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה

תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.

CVE-2026-28965: ‏Abhay Kailasia ‏(‎@abhay_kailasia) מ‑Safran Mumbai India

zlib‏

השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים

תיאור: דליפת מידע טופלה עם אימות נוסף.

CVE-2026-28920: ‏Brendon Tiszka מ-Google Project Zero

תודות נוספות

App Intents

אנחנו מבקשים להודות ל-Mikael Kinnman על הסיוע.

Apple Account

אנחנו מבקשים להודות ל‑Iván Savransky, ל-YingQi Shi ‏(‎@Mas0nShi) מ‑DBAppSecurity's WeBin lab על הסיוע.

Audio

אנחנו מבקשים להודות ל-Brian Carpenter על הסיוע.

AuthKit

אנחנו מבקשים להודות ל-Gongyu Ma ‏(‏@Mezone0) על הסיוע.

CoreUI

אנחנו מבקשים להודות ל‑Mustafa Calap על הסיוע.

ICU

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Kernel

אנחנו מבקשים להודות ל‑Ryan Hileman באמצעות Xint Code ‏(xint.io) ול‑Suresh Sundaram, חוקר אנונימי על הסיוע.

libnetcore

אנחנו מבקשים להודות ל‑Chris Staite ו‑David Hardy מ‑Menlo Security Inc על הסיוע.

Libnotify

אנחנו מבקשים להודות ל-Ilias Morad‏ (‎@A2nkF_) על הסיוע.

Location

אנחנו מבקשים להודות ל-Kun Peeks ‏(‎@SwayZGl1tZyyy) על הסיוע.

Mail

אנחנו מבקשים להודות ל-Himanshu Bharti ‏(@Xpl0itme) מ-Khatima על הסיוע.

mDNSResponder

אנחנו מבקשים להודות ל-Jason Grove על הסיוע.

Messages

אנחנו מבקשים להודות ל-Jeffery Kimbrow ול‑Bishal Kafle על הסיוע.

Multi-Touch

אנחנו מבקשים להודות ל-Asaf Cohen על הסיוע.

Notes

אנחנו מבקשים להודות ל-Asilbek Salimov ול‑Mohamed Althaf על הסיוע.

Photos

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia)‎ מ-Safran Mumbai India ול-Christopher Mathews על הסיוע.

Safari Private Browsing

אנחנו מבקשים להודות ל-Dalibor Milanovic על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-Jacob Prezant‏ (prezant.us) על הסיוע.

Siri

אנחנו מבקשים להודות ל-Yoav Magid על הסיוע.

UIKit

אנחנו מבקשים להודות ל-Shaheen Fazim על הסיוע.

WebKit

אנחנו מבקשים להודות ל‑Muhammad Zaid Ghifari ‏(Mr.ZheeV), ל‑Kalimantan Utara, ל‑Qadhafy Muhammad Tera ול‑Vitaly Simonovich על הסיוע.

WebRTC

אנחנו מבקשים להודות ל‑Hyeonji Son ‏(‎@jir4vv1t) מ‑Demon Team על הסיוע.

Wi-Fi

אנחנו מבקשים להודות ל-Yusuf Kelany על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 15 במאי 2026