.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Om sikkerhetsinnholdet i iOS 26.5 og iPadOS 26.5

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 26.5 og iPadOS 26.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iOS 26.5 og iPadOS 26.5

Utgitt 11. mai 2026

Accelerate

Tilgjengelig for: iPhone 11 og nyere, 12,9-tommers iPad Pro 3. generasjon og nyere, 11-tommers iPad Pro 1. generasjon og nyere, iPad Air 3. generasjon og nyere, iPad 8. generasjon og nyere og iPad mini 5. generasjon og nyere

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Virkning: En app kan omgå enkelte personvernpreferanser

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2026-28988: Asaf Cohen

APFS

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28959: Dave G.

App Intents

Virkning: En skadelig app kan være i stand til å bryte ut av sandkassen sin

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) for Reverse Society

AppleJPEG

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2026-1837

AppleJPEG

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2026-28956: impost0r (ret2plt)

Audio

Virkning: Behandling av en lydstrøm i en ondsinnet mediefil kan avslutte prosessen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-39869: David Ige fra Beryllium Security

CoreAnimation

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28936: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

CoreSymbolication

Virkning: Analyse av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2026-28918: Niels Hofmans, en anonym person som samarbeider med TrendAI Zero Day Initiative

FileProvider

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2026-43659: Alex Radocea

ImageIO

Virkning: Behandling av et skadelig bilde kan skade prosessminne

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2026-43661: En anonym forsker

ImageIO

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2026-28977: Suresh Sundaram

ImageIO

Virkning: Behandling av et skadelig bilde kan skade prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Virkning: En app kan være i stand til å fastslå kjerneminnets oppsett

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Virkning: En app kan forårsake uventet systemavslutning eller lese kjerneminnet

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-43655: Somair Ansar og en anonym forsker

Kernel

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminnet

Beskrivelse: En bufferoverskridelse ble løst med bedre validering av inndata.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Virkning: En app kan få rotrettigheter

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28951: Csaba Fitzl (@theevilbit) fra Iru

Kernel

Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2026-28972: Billy Jheng Bing Jhong and Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) fra Talence Security, Ryan Hileman med Xint Code (xint.io)

Kernel

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-43653: Atul R V

mDNSResponder

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: Derefereringen av en nullreferanse ble løst med forbedret validering av inndata.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Virkning: Behandling av et skadelig bilde kan skade prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-28940: Michael DePlante (@izobashi) fra TrendAI Zero Day Initiative

Networking

Virkning: En angriper kan være i stand til å spore brukere via IP-adressen deres

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Virkning: Analyse av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2026-43656: Peter Malone

SceneKit

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av appen

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28846: Peter Malone

Screenshots

Tilgjengelig for: iPhone 15 og nyere

Virkning: En angriper med fysisk tilgang kan være i stand til å bruke visuell intelligens til å få tilgang til sensitive brukerdata under iPhone-speiling

Beskrivelse: Et problem med personvern ble løst ved å fjerne den sårbare koden.

CVE-2026-28963: Jorge Welch

Shortcuts

Virkning: En app kan få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.

CVE-2026-28993: Doron Assness

Spotlight

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2026-28974: Andy Koo (@andykoo) fra Hexens

Status Bar

Virkning: En app kan ta bilde av en brukers skjerm

Beskrivelse: Et problem med apptilgang til kamerametadata ble løst gjennom forbedret logikk.

CVE-2026-28957: Adriatik Raci

Storage

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2026-28996: Alex Radocea

WebKit

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede tilgangsrestriksjoner.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu, og Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), en anonym person som samarbeider med TrendAI Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac og Kookhwan Lee i samarbeid med TrendAI Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) fra Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aisles forskerteam innen offensiv sikkerhet (Joshua Rogers, Luigino Camastra, Igor Morgenstern og Guido Vranken), Maher Azzouzi, Ngan Nguyen fra Calif.io.

WebKit Bugzilla: 311631

CVE-2026-28913: En anonym forsker

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr og Nicholas Carlini med Claude, Anthropic

WebKit

Virkning: En ondsinnet iframe kan utnytte et annet nettsteds nedlastingsinnstillinger

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av grensesnittet.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu fra Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å utføre et tjenestenektangrep ved hjelp av utformede wifi-pakker

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-28994: Alex Radocea

WidgetKit

Virkning: En bruker kan se begrenset innhold på låst skjerm

Beskrivelse: Et personvernproblem ble løst med forbedrede kontroller.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India

zlib

Virkning: Besøk på et skadelig nettsted kan lekke sensitive opplysninger

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2026-28920: Brendon Tiszka fra Google Project Zero

Ytterligere anerkjennelser

App Intents

Vi vil gjerne takk Mikael Kinnman for hjelpen.

Apple Account

Vi vil gjerne takke Iván Savransky og YingQi Shi (@Mas0nShi) fra DBAppSecuritys WeBin-lab for hjelpen.

Audio

Vi vil gjerne takke Brian Carpenter for hjelpen.

AuthKit

Vi vil gjerne takke Gongyu Ma (@Mezone0) for hjelpen.

CoreUI

Vi vil gjerne takke Mustafa Calap for hjelpen.

ICU

Vi vil gjerne takke en anonym forsker for hjelpen.

Kernel

Vi vil gjerne takke Ryan Hileman via Xint Code (xint.io), Suresh Sundaram og en anonym sikkerhetsforsker for hjelpen.

libnetcore

Vi vil gjerne takke Chris Staite and David Hardy of Menlo Security Inc for hjelpen.

Libnotify

Vi vil gjerne takke Ilias Morad (@A2nkF_) for hjelpen.

Location

Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) for hjelpen.

Mail

Vi vil gjerne takke Himanshu Bharti (@Xpl0itme) fra Khatima for hjelpen.

mDNSResponder

Vi vil gjerne takke Jason Grove for hjelpen.

Messages

Vi vil gjerne takke Bishal Kafle, Jeffery Kimbrow for hjelpen.

Multi-Touch

Vi vil gjerne takke Asaf Cohen for hjelpen.

Notes

Vi vil gjerne takke Asilbek Salimov, Mohamed Althaf for hjelpen.

Photos

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Safran Mumbai India, Christopher Mathews for hjelpen.

Safari Private Browsing

Vi vil gjerne takke Dalibor Milanovic for hjelpen.

Shortcuts

Vi vil gjerne takke Jacob Prezant (prezant.us) for hjelpen.

Siri

Vi vil gjerne takk Yoav Magid for hjelpen.

UIKit

Vi vil gjerne takke Shaheen Fazim for hjelpen.

WebKit

Vi vil gjerne takke Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich for hjelpen.

WebRTC

Vi vil gjerne takke Hyeonji Son (@jir4vv1t) fra Demon Team for hjelpen.

Wi-Fi

Vi vil gjerne takke Yusuf Kelany for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 15. mai 2026