Over de beveiligingsinhoud van iOS 26.5.2 en iPadOS 26.5.2
Deze update bevat oplossingen voor beveiligingsproblemen die voor het eerst beschikbaar waren in de bèta's van iOS 26.6 en iPadOS 26.6. In dit document wordt de beveiligingsinhoud van iOS 26.5.2 en iPadOS 26.5.2 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iOS 26.5.2 en iPadOS 26.5.2
Releasedatum: 29 juni 2026
IOGPUFamily
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een app kan mogelijk zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: een race condition is verholpen door een verbeterde statusverwerking.
CVE-2026-43743: Lyutoon, Dun
Kernel
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen
Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.
CVE-2026-43724: Hyunwoo Kim (@v4bel)
Kernel
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een app kan gevoelige kernelstatus vrijgeven
Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.
CVE-2026-43722: Feng Xue en XGPT van ThreatBook, Hyunwoo Kim (@v4bel)
Kernel
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen
Beschrijving: dit probleem is verholpen door middel van verbeterde inputvalidatie.
CVE-2026-39868: Vladislav Shevchenko (Positive Technologies), Ye Zhang (@VAR10CK) van Baidu Security, Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.
libxslt
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2026-43706: Tristan Madani (@TristanInSec) van Talence Security
libxslt
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2026-43703: Tristan Madani (@TristanInSec) van Talence Security
Web Extensions
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een schadelijke webextensie kan leiden tot een onverwachte procescrash
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 314642
CVE-2026-43704: dr3dd
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een cross-origin-probleem is verholpen door verbeterde tracking van beveiligingsbronnen.
WebKit Bugzilla: 315368
CVE-2026-43700: Vitaly Simonovich, Christian Meurer Xavier
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 313357
CVE-2026-43735: Merrick Hare, Drinor Selmanaj (Sentry), Khai Tran, John Lussier, Rhyru9, Kwak Kiyong, Song Nuri
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 313693
CVE-2026-43734: Jonathan Alush-Aben
WebKit Bugzilla: 313857
CVE-2026-43726: Josef Korbel (Citadelo), Tristan Madani (@TristanInSec) van Talence Security, Gia Bui (@yabeow) van Calif.io, Narendra Singh (@_3P1C)
WebKit Bugzilla: 314398
CVE-2026-43709
WebKit Bugzilla: 317227
CVE-2026-43699: Tommy DeVoss van Braze Security Team (@thedawgyg)
WebKit Bugzilla: 315161
CVE-2026-43742: Юлия Мерцалова
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.
WebKit Bugzilla: 313085
CVE-2026-43732: Nan Wang (@eternalsakura13)
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 314115
CVE-2026-43731: dr3dd
WebKit Bugzilla: 313577
CVE-2026-43715: Milad Nasr en Nicholas Carlini met Claude, Anthropic
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 313691
CVE-2026-43727: Tommy DeVoss van Braze Security Team (@thedawgyg), Gia Bui (@yabeow) van Calif.io, Gurpreet Shergill
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een kwaadaardige website kan mogelijk beperkt webmateriaal buiten de sandbox verwerken
Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 312832
CVE-2026-43725: Luke Francis
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 312781
CVE-2026-43663: Soyeon Park, Amy Burnett, Khai Tran, sherkito, Kota Toda, HexRabbit (@h3xr4bb1t) en NiNi (@terrynini38514) van DEVCORE Research Team, Using GLM From Z.AI, Tristan Madani (@TristanInSec) van Talence Security, Brian Carpenter
WebKit Bugzilla: 313528
CVE-2026-39872: Utkarsh Pal, Ignacio Sanmillan (@ulexec)
WebKit Bugzilla: 314235
CVE-2026-43712: Kwak Kiyong, Song Nuri, Tristan Madani (@TristanInSec) van Talence Security
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 315047
CVE-2026-43716: Tuan en Duc van Calif.io, OpenAI Codex Security - Amy Burnett, Evan Lambert
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
WebKit Bugzilla: 317231
CVE-2026-43676: Mateusz Krzywicki (iVerify.io), dr3dd, Tommy DeVoss van Braze Security Team (@thedawgyg)
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 308046
CVE-2026-43740: Nathaniel Oh (@calysteon), Arni Hardarson
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het bezoeken van een website kan leiden tot het lekken van gevoelige gegevens
Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.
WebKit Bugzilla: 314806
CVE-2026-43713: Jody Ritonga
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 315306
CVE-2026-43708: Behzad Najjarpour Jabbari (@_G4ru_)
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
WebKit Bugzilla: 315951
CVE-2026-43707: OpenAI Codex Security - Amy Burnett
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging
Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.
WebKit Bugzilla: 314528
CVE-2026-43705: dr3dd
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een kwaadaardige website kan mogelijk beperkt webmateriaal buiten de sandbox verwerken
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 315004
CVE-2026-43701: Aaron Grattafiori - NVIDIA AI Red Team
WebKit
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 315365
CVE-2026-43745: OpenAI Codex Security - Amy Burnett, Khai Tran
WebKit Canvas
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 313175
CVE-2026-43720: Gia Bui (@yabeow) van Calif.io, Josef Korbel
WebKit Storage
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: een kwaadaardige website kan mogelijk ongemerkt klembordgegevens kapen
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 313478
CVE-2026-43721: Idan Masas
WebRTC
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
WebKit Bugzilla: 317324
CVE-2026-28979
WebRTC
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.
WebKit Bugzilla: 313350
CVE-2026-43718: Nan Wang (@eternalsakura13)
WebRTC
Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 313351
CVE-2026-43717: Nan Wang (@eternalsakura13)
WebKit Bugzilla: 314090
CVE-2026-43746: dr3dd
Aanvullende erkenning
libxslt
Met dank aan Kubilay Berk Alkan voor de hulp.
WebKit
Met dank aan Henock Habte, Souta Sugiyama voor de hulp.
WebKit JavaScript Bindings
Met dank aan Karan Kurani voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.