.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Informazioni sui contenuti di sicurezza di iOS 26.5 e iPadOS 26.5

In questo documento vengono descritti i contenuti di sicurezza di iOS 26.5 e iPadOS 26.5.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 26.5 e iPadOS 26.5

Data di rilascio: 11 maggio 2026

Accelerate

Disponibile per: iPhone 11 e successivi, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (8a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Impatto: un'app potrebbe bypassare alcune preferenze di privacy.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-28988: Asaf Cohen

APFS

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2026-28959: Dave G.

App Intents

Impatto: un'app dannosa può essere in grado di uscire dalla sandbox.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) per Reverse Society

AppleJPEG

Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2026-1837

AppleJPEG

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28956: impost0r (ret2plt)

Audio

Impatto: l'elaborazione di un file multimediale audio in streaming potrebbe causare l'arresto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-39869: David Ige di Beryllium Security

CoreAnimation

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2026-28936: Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs

CoreSymbolication

Impatto: l'analisi di un file dannoso potrebbe causare la chiusura improvvisa dell'app.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-28918: Niels Hofmans, anonimo in collaborazione con TrendAI Zero Day Initiative

FileProvider

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2026-43659: Alex Radocea

ImageIO

Impatto: l'elaborazione di un'immagine dannosa potrebbe danneggiare la memoria dei processi.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-43661: un ricercatore anonimo

ImageIO

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2026-28977: Suresh Sundaram

ImageIO

Impatto: l'elaborazione di un'immagine dannosa potrebbe danneggiare la memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Impatto: un'app può determinare il layout della memoria del kernel

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-28943: Threat Analysis Group di Google

IOKit

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o leggere sulla memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-43655: Somair Ansar e un ricercatore anonimo

Kernel

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong e Pan Zhenpeng (@Peterpan0927) di STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28951: Csaba Fitzl (@theevilbit) di Iru

Kernel

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28972: Billy Jheng Bing Jhong e Pan Zhenpeng (@Peterpan0927) di STAR Labs SG Pte. Ltd., Ryan Hileman tramite Xint Code (xint.io)

Kernel

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) di Talence Security, Ryan Hileman tramite Xint Code (xint.io)

Kernel

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-43653: Atul R V

mDNSResponder

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Impatto: l'elaborazione di un'immagine dannosa potrebbe danneggiare la memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-28940: Michael DePlante (@izobashi) di TrendAI Zero Day Initiative

Networking

Impatto: un utente malintenzionato può essere in grado di monitorare gli utenti utilizzando il loro indirizzo IP.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Impatto: l'analisi di un file dannoso potrebbe causare la chiusura improvvisa dell'app.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-43656: Peter Malone

SceneKit

Impatto: un utente malintenzionato collegato in remoto può causare l’arresto imprevisto dell’app.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2026-28846: Peter Malone

Screenshots

Disponibile per: iPhone 15 e modelli successivi

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare l’intelligenza visiva per accedere ai dati sensibili dell’utente durante il mirroring dell’iPhone.

Descrizione: un problema di privacy è stato risolto rimuovendo il codice vulnerabile.

CVE-2026-28963: Jorge Welch

Shortcuts

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.

CVE-2026-28993: Doron Assness

Spotlight

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2026-28974: Andy Koo (@andykoo) di Hexens

Status Bar

Impatto: un'app può essere in grado di acquisire la schermata dell'utente.

Descrizione: un problema con l'accesso di un'app ai metadati della fotocamera è stato risolto attraverso una migliore logica.

CVE-2026-28957: Adriatik Raci

Storage

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2026-28996: Alex Radocea

WebKit

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu e Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonimo in collaborazione con TrendAI Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac e Kookhwan Lee in collaborazione con TrendAI Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) di Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aisle Offensive Security Research Team (Joshua Rogers, Luigino Camastra, Igor Morgenstern e Guido Vranken), Maher Azzouzi, Ngan Nguyen di Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: un ricercatore anonimo

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr e Nicholas Carlini con Claude, Anthropic

WebKit

Impatto: un iframe pericoloso potrebbe utilizzare le impostazioni di download di un altro sito web.

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu di Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe causare un’interruzione del servizio usando pacchetti Wi-Fi modificati.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28994: Alex Radocea

WidgetKit

Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco

Descrizione: un problema di privacy è stato risolto attraverso migliori controlli.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India

zlib

Impatto: l'accesso a un sito web pericoloso potrebbe causare la perdita di dati sensibili.

Descrizione: una perdita di informazioni è stata risolta attraverso una convalida aggiuntiva.

CVE-2026-28920: Brendon Tiszka di Google Project Zero

Altri riconoscimenti

App Intents

Ringraziamo Mikael Kinnman per l’assistenza.

Apple Account

Ringraziamo Iván Savransky, YingQi Shi (@Mas0nShi) di DBAppSecurity's WeBin lab per l’assistenza.

Audio

Ringraziamo Brian Carpenter per l’assistenza.

AuthKit

Ringraziamo Gongyu Ma (@Mezone0) per l'assistenza.

CoreUI

Ringraziamo Mustafa Calap per l’assistenza.

ICU

Ringraziamo un ricercatore anonimo per l'assistenza.

Kernel

Ringraziamo Ryan Hileman tramite Xint Code (xint.io), Suresh Sundaram, un ricercatore anonimo per l’assistenza.

libnetcore

Ringraziamo Chris Staite e David Hardy di Menlo Security Inc per l’assistenza.

Libnotify

Ringraziamo Ilias Morad (@A2nkF_) per l'assistenza.

Location

Ringraziamo Kun Peeks (@SwayZGl1tZyyy) per l'assistenza.

Mail

Ringraziamo Himanshu Bharti (@Xpl0itme) di Khatima per l’assistenza.

mDNSResponder

Ringraziamo Jason Grove per l’assistenza.

Messages

Ringraziamo Bishal Kafle, Jeffery Kimbrow per l’assistenza.

Multi-Touch

Ringraziamo Asaf Cohen per l’assistenza.

Notes

Ringraziamo Asilbek Salimov, Mohamed Althaf per l’assistenza.

Photos

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India, Christopher Mathews per l’assistenza.

Safari Private Browsing

Ringraziamo Dalibor Milanovic per l'assistenza.

Shortcuts

Ringraziamo Jacob Prezant (prezant.us) per l'assistenza.

Siri

Ringraziamo Yoav Magid per l’assistenza.

UIKit

Ringraziamo Shaheen Fazim per l'assistenza.

WebKit

Ringraziamo Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich per l’assistenza.

WebRTC

Ringraziamo Hyeonji Son (@jir4vv1t) di Demon Team per l’assistenza.

Wi-Fi

Ringraziamo Yusuf Kelany per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 15 maggio 2026