.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Over de beveiligingsinhoud van iOS 26.5 en iPadOS 26.5

In dit document wordt de beveiligingsinhoud van iOS 26.5 en iPadOS 26.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 26.5 en iPadOS 26.5

Releasedatum: 11 mei 2026

Accelerate

Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2026-28988: Asaf Cohen

APFS

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28959: Dave G.

App Intents

Impact: een kwaadaardige app kan buiten zijn sandbox komen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) voor Reverse Society

AppleJPEG

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2026-1837

AppleJPEG

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

CVE-2026-28956: impost0r (ret2plt)

Audio

Impact: het verwerken van een audiostream in een kwaadwillig vervaardigd mediabestand kan leiden tot het beëindigen van het proces

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-39869: David Ige van Beryllium Security

CoreAnimation

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

CoreSymbolication

Impact: het parsen van een kwaadwillige vervaardigd bestand kan leiden tot de onverwachte beëindiging van apps

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2026-28918: Niels Hofmans, anoniem in samenwerking met het Zero Day Initiative van TrendAI

FileProvider

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-43659: Alex Radocea

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

CVE-2026-43661: een anonieme onderzoeker

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2026-28977: Suresh Sundaram

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Impact: een aanvaller kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Impact: een app kan de indeling van het kernelgeheugen bepalen

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-43655: Somair Ansar en een anonieme onderzoeker

Kernel

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een bufferoverloop is verholpen door verbeterde invoervalidatie.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-28951: Csaba Fitzl (@theevilbit) van Iru

Kernel

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2026-28972: Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) van Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43653: Atul R V

mDNSResponder

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: een null pointer-dereferentie is verholpen door verbeterde invoervalidatie.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28940: Michael DePlante (@izobashi) van het Zero Day Initiative van TrendAI

Networking

Impact: een kwaadwillende kan gebruikers mogelijk volgen via hun IP-adres

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Impact: het parsen van een kwaadwillige vervaardigd bestand kan leiden tot de onverwachte beëindiging van apps

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2026-43656: Peter Malone

SceneKit

Impact: een externe aanvaller kan mogelijk het onverwacht beëindigen van een app veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28846: Peter Malone

Screenshots

Beschikbaar voor: iPhone 15 en nieuwer

Impact: een aanvaller met fysieke toegang kan mogelijk Visuele intelligentie gebruiken om toegang te krijgen tot vertrouwelijke gebruikersgegevens tijdens synchrone iPhone-weergave

Beschrijving: een privacyprobleem is verholpen door de kwetsbare code te verwijderen.

CVE-2026-28963: Jorge Welch

Shortcuts

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een extra melding toe te voegen waarin de gebruiker om toestemming gevraagd wordt.

CVE-2026-28993: Doron Assness

Spotlight

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.

CVE-2026-28974: Andy Koo (@andykoo) van Hexens

Status Bar

Impact: een app kan het scherm van een gebruiker vastleggen

Beschrijving: een probleem met de toegang van apps tot de metagegevens van de camera is opgelost door verbeterde logica.

CVE-2026-28957: Adriatik Raci

Storage

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-28996: Alex Radocea

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: dit probleem is verholpen door verbeterde toegangsbeperkingen.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu en Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anoniem in samenwerking met het Zero Day Initiative van TrendAI, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac en Kookhwan Lee in samenwerking met het Zero Day Initiative van TrendAI

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) van Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aisle offensive security research team (Joshua Rogers, Luigino Camastra, Igor Morgenstern en Guido Vranken), Maher Azzouzi, Ngan Nguyen van Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: een anonieme onderzoeker

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr en Nicholas Carlini met Claude, Anthropic

WebKit

Impact: een kwaadwillige iframe kan de downloadinstellingen van een andere website gebruiken

Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu van Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een denial-of-service-aanval opzetten met behulp van kwaadwillig vervaardigde wifipakketten

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-28994: Alex Radocea

WidgetKit

Impact: een gebruiker kan mogelijk beperkte inhoud bekijken via het toegangsscherm

Beschrijving: er is een privacyprobleem verholpen door verbeterde controles.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India

zlib

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2026-28920: Brendon Tiszka van Google Project Zero

Aanvullende erkenning

App Intents

Met dank aan Mikael Kinnman voor de hulp.

Apple Account

Met dank aan Iván Savransky, YingQi Shi (@Mas0nShi) van DBAppSecurity's WeBin lab voor de hulp.

Audio

Met dank aan Brian Carpenter voor de hulp.

AuthKit

Met dank aan Gongyu Ma (@Mezone0) voor de hulp.

CoreUI

Met dank aan Mustafa Calap voor de hulp.

ICU

Met dank aan een anonieme onderzoeker voor de hulp.

Kernel

Met dank aan Ryan Hileman via Xint Code (xint.io), Suresh Sundaram, een anonieme onderzoeker voor de hulp.

libnetcore

Met dank aan Chris Staite en David Hardy van Menlo Security Inc voor de hulp.

Libnotify

Met dank aan Ilias Morad (@A2nkF_) voor de hulp.

Location

Met dank aan Kun Peeks (@SwayZGl1tZyyy) voor de hulp.

Mail

Met dank aan Himanshu Bharti (@Xpl0itme) van Khatima voor de hulp.

mDNSResponder

Met dank aan Jason Grove voor de hulp.

Messages

Met dank aan Bishal Kafle, Jeffery Kimbrow voor de hulp.

Multi-Touch

Met dank aan Asaf Cohen voor de hulp.

Notes

Met dank aan Asilbek Salimov, Mohamed Althaf voor de hulp.

Photos

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Christopher Mathews voor de hulp.

Safari Private Browsing

Met dank aan Dalibor Milanovic voor de hulp.

Shortcuts

Met dank aan Jacob Prezant (prezant.us) voor de hulp.

Siri

Met dank aan Yoav Magid voor de hulp.

UIKit

Met dank aan Shaheen Fazim voor de hulp.

WebKit

Met dank aan Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich voor de hulp.

WebRTC

Met dank aan Hyeonji Son (@jir4vv1t) van Demon Team voor de hulp.

Wi-Fi

Met dank aan Yusuf Kelany voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: mei 15, 2026