.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Informacije o sigurnosnom sadržaju sustava iOS 26.5 i iPadOS 26.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 26.5 i iPadOS 26.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 26.5 i iPadOS 26.5

Objavljeno 11. svibnja 2026.

Accelerate

Dostupno za: iPhone 11 i noviji, 12,9-inčni iPad Pro 3. generacije i noviji, 11-inčni iPad Pro 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28988: Asaf Cohen

APFS

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28959: Dave G.

App Intents

Učinak: zlonamjerna aplikacija mogla bi izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) za Reverse Society

AppleJPEG

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2026-1837

AppleJPEG

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28956: impost0r (ret2plt)

Audio

Učinak: obrada zvučnog streama u zlonamjernoj medijskoj datoteci mogla je prekinuti izvršavanje procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-39869: David Ige (Beryllium Security)

CoreAnimation

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28936: Andreas Jaegersbergeri i Ro Achterberg (Nosebeard Labs)

CoreSymbolication

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-28918: Niels Hofmans, anonimni istraživač u suradnji s inicijativom Zero Day (TrendAI)

FileProvider

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-43659: Alex Radocea

ImageIO

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2026-43661: anonimni istraživač

ImageIO

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2026-28977: Suresh Sundaram

ImageIO

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Učinak: aplikacija bi mogla odrediti raspored elemenata kernelske memorije

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili čitati kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-43655: Somair Ansar i anonimni istraživač

Kernel

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: prekoračenje međuspremnika riješeno je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28951: Csaba Fitzl (@theevilbit) (Iru)

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd., Ryan Hileman koristeći Xint Code (xint.io)

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) (Talence Security), Ryan Hileman koristeći Xint Code (xint.io)

Kernel

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43653: Atul R V

mDNSResponder

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28940: Michael DePlante (@izobashi), inicijativa Zero Day (TrendAI)

Networking

Učinak: napadač bi mogao pratiti korisnike preko njihovih IP adresa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-43656: Peter Malone

SceneKit

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano isključivanje aplikacije

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28846: Peter Malone

Screenshots

Dostupno za: iPhone 15 i noviji

Učinak: napadač s fizičkim pristupom mogao bi uz pomoć komponente Visual Intelligence pristupiti povjerljivim korisničkim podacima tijekom zrcaljenja iPhonea

Opis: problem s privatnošću riješen je uklanjanjem koda sa slabim točkama.

CVE-2026-28963: Jorge Welch

Shortcuts

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2026-28993: Doron Assness

Spotlight

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.

CVE-2026-28974: Andy Koo (@andykoo) (Hexens)

Status Bar

Učinak: neke bi aplikacije mogle snimiti zaslon korisnika

Opis: problem s pristupom aplikacije metapodacima kamere riješen je poboljšanom logikom.

CVE-2026-28957: Adriatik Raci

Storage

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28996: Alex Radocea

WebKit

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka

Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu i Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonimni istraživač u sudarnji s inicijativom Zero Day (TrendAI), Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac i Kookhwan Lee u suradnji s inicijativom Zero Day Initiative (TrendAI)

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) (Talence Security), Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: istraživački tim za AISLE Offensive Security (Joshua Rogers, Luigino Camastra, Igor Morgenstern i Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)

WebKit Bugzilla: 311631

CVE-2026-28913: anonimni istraživač

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: taj je problem riješen poboljšanom zaštitom podataka.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr i Nicholas Carlini (Claude, Anthropic)

WebKit

Učinak: zlonamjerni iframe mogao je koristiti postavke preuzimanja drugog web-mjesta

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu (Palo Alto Networks), Jérôme DJOUDER, dr3dd

Wi-Fi

Učinak: napadač na povlaštenom mrežnom položaju mogao bi izvršiti napad uskraćivanja usluge upotrebom zlonamjernih Wi-Fi paketa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28994: Alex Radocea

WidgetKit

Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: problem sa zaštitom privatnosti riješen je poboljšanim provjerama.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) (Safran, Mumbai, Indija)

zlib

Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Dodatna zahvala

App Intents

Na pomoći zahvaljujemo Mikaelu Kinnmanu.

Apple Account

Na pomoći zahvaljujemo Ivánu Savranskyju, korisniku YingQi Shi (@Mas0nShi) (laboratorij WeBin, DBAppSecurity).

Audio

Na pomoći zahvaljujemo Brianu Carpenteru.

AuthKit

Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).

CoreUI

Na pomoći zahvaljujemo Mustafi Calapu.

ICU

Na pomoći zahvaljujemo anonimnom istraživaču.

Kernel

Na pomoći zahvaljujemo Ryanu Hilemanu koji je koristio Xint Code (xint.io), Sureshu Sundaramu i anonimnom istraživaču.

libnetcore

Na pomoći zahvaljujemo Chrisu Staiteu i Davidu Hardyju (Menlo Security Inc).

Libnotify

Na pomoći zahvaljujemo Iliasu Morada (@A2nkF_).

Location

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).

Mail

Na pomoći zahvaljujemo Himanshuu Bhartiju (@Xpl0itme) (Khatima).

mDNSResponder

Na pomoći zahvaljujemo Jasonu Groveu.

Messages

Na pomoći zahvaljujemo Bishalu Kafleu, Jefferyju Kimbrowu.

Multi-Touch

Na pomoći zahvaljujemo Asafu Cohenu.

Notes

Na pomoći zahvaljujemo Asilbeku Salimovu, Mohamedu Althafu.

Photos

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Safran Mumbai, Indija) i Christopheru Mathewsu.

Safari Private Browsing

Na pomoći zahvaljujemo Daliboru Milanoviću.

Shortcuts

Na pomoći zahvaljujemo Jacobu Prezantu (prezant.us).

Siri

Na pomoći zahvaljujemo Yoavu Magidu.

UIKit

Na pomoći zahvaljujemo Shaheenu Fazimu.

WebKit

Na pomoći zahvaljujemo Muhammadu Zaidu Ghifariju (Mr.ZheeV), Kalimantanu Utari, Qadhafyju Muhammadu Teri, Vitalyju Simonovichu.

WebRTC

Na pomoći zahvaljujemo Hyeonjiju Sonu (@jir4vv1t) (Demon Team).

Wi-Fi

Na pomoći zahvaljujemo Yusufu Kelanyju.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 15. svibnja 2026.