.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Zawartość związana z zabezpieczeniami w systemach iOS 26.5 i iPadOS 26.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 26.5 i iPadOS 26.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 26.5 i iPadOS 26.5

Wydano 11 maja 2026 r.

Accelerate

Dostępne dla: iPhone 11 i nowsze, iPad Pro 12,9 cala 3. generacji i nowsze, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 8. generacji i nowsze oraz iPad mini 5. generacji i nowsze

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-28988: Asaf Cohen

APFS

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28959: Dave G.

App Intents

Zagrożenie: Złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) z Reverse Society

AppleJPEG

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2026-1837

AppleJPEG

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28956: impost0r (ret2plt)

Audio

Zagrożenie: Przetworzenie strumienia audio w złośliwie spreparowanym pliku multimedialnym może spowodować zakończenie procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-39869: David Ige z Beryllium Security

CoreAnimation

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2026-28936: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

CoreSymbolication

Zagrożenie: analizowanie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28918: Niels Hofmans, anonimowy użytkownik w ramach programu Zero Day Initiative firmy TrendAI

FileProvider

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2026-43659: Alex Radocea

ImageIO

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do uszkodzenia pamięci procesowej.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2026-43661: Anonimowy badacz

ImageIO

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2026-28977: Suresh Sundaram

ImageIO

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do uszkodzenia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-28943: Threat Analysis Group firmy Google

IOKit

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-43655: Somair Ansar i anonimowy badacz

Kernel

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28951: Csaba Fitzl (@theevilbit) z Iru

Kernel

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd., Ryan Hileman przez Xint Code (xint.io)

Kernel

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) z Talence Security, Ryan Hileman przez Xint Code (xint.io)

Kernel

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-43653: Atul R V

mDNSResponder

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do uszkodzenia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-28940: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy TrendAI

Networking

Zagrożenie: osoba atakująca może być w stanie śledzić użytkowników za pomocą ich adresów IP.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Zagrożenie: analizowanie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-43656: Peter Malone

SceneKit

Zagrożenie: Osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28846: Peter Malone

Screenshots

Dostępne dla: iPhone’a 15 i nowszych modeli

Zagrożenie: Osoba atakująca z fizycznym dostępem może być w stanie użyć funkcji Inteligencja wizualna w celu uzyskania dostępu do poufnych danych użytkownika podczas klonowania iPhone’a.

Opis: rozwiązano problem z prywatnością przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2026-28963: Jorge Welch

Shortcuts

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd rozwiązano przez wprowadzenie dodatkowego monitu o zgodę użytkownika.

CVE-2026-28993: Doron Assness

Spotlight

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.

CVE-2026-28974: Andy Koo (@andykoo) z Hexens

Status Bar

Zagrożenie: aplikacja może być w stanie przechwycić ekran użytkownika.

Opis: naprawiono błąd z dostępem aplikacji do metadanych aparatu przez poprawienie procedur obsługi procesów logicznych.

CVE-2026-28957: Adriatik Raci

Storage

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2026-28996: Alex Radocea

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu i Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonimowy użytkownik w ramach programu Zero Day Initiative firmy TrendAI, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac i Kookhwan Lee w ramach programu Zero Day Initiative firmy TrendAI

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) z Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Zespół badawczy ds. ofensywnego bezpieczeństwa Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern i Guido Vranken), Maher Azzouzi, Ngan Nguyen z Calif.io.

WebKit Bugzilla: 311631

CVE-2026-28913: Anonimowy badacz

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr i Nicholas Carlini z Claude, Anthropic

WebKit

Zagrożenie: Złośliwa ramka iframe może wykorzystywać ustawienia pobierania innej witryny.

Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu z Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Zagrożenie: Atakująca osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi” z użyciem spreparowanych pakietów Wi-Fi.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-28994: Alex Radocea

WidgetKit

Zagrożenie: użytkownik może być w stanie przeglądać treści objęte ograniczeniami z poziomu zablokowanego ekranu.

Opis: naprawiono błąd prywatności przez poprawienie procedur sprawdzania.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) z Safran Mumbai India

zlib

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.

Opis: wyciek informacji został rozwiązany poprzez wprowadzenie dodatkowej weryfikacji.

CVE-2026-28920: Brendon Tiszka z Google Project Zero

Dodatkowe podziękowania

App Intents

Dziękujemy za udzieloną pomoc: Mikael Kinnman.

Apple Account

Dziękujemy za udzieloną pomoc: Iván Savransky, YingQi Shi (@Mas0nShi) z laboratorium WeBin firmy DBAppSecurity.

Audio

Dziękujemy za udzieloną pomoc: Brian Carpenter.

AuthKit

Dziękujemy za udzieloną pomoc Gongyu Ma (@Mezone0).

CoreUI

Dziękujemy za udzieloną pomoc: Mustafa Calap.

ICU

Dziękujemy anonimowemu badaczowi za pomoc.

Kernel

Dziękujemy za udzieloną pomoc: Ryan Hileman przez Xint Code (xint.io), Suresh Sundaram, anonimowy badacz.

libnetcore

Dziękujemy za udzieloną pomoc: Chris Staite i David Hardy z Menlo Security Inc.

Libnotify

Dziękujemy za udzieloną pomoc: Ilias Morad (@A2nkF_).

Location

Dziękujemy za udzieloną pomoc: Kun Peeks (@SwayZGl1tZyyy).

Mail

Dziękujemy za udzieloną pomoc: Himanshu Bharti (@Xpl0itme) z Khatima.

mDNSResponder

Dziękujemy za udzieloną pomoc: Jason Grove.

Messages

Dziękujemy za udzieloną pomoc: Bishal Kafle, Jeffery Kimbrow.

Multi-Touch

Dziękujemy za udzieloną pomoc: Asaf Cohen.

Notes

Dziękujemy za udzieloną pomoc: Asilbek Salimov, Mohamed Althaf.

Photos

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Safran Mumbai India, Christopher Mathews.

Safari Private Browsing

Dziękujemy za udzieloną pomoc: Dalibor Milanovic.

Shortcuts

Dziękujemy za udzieloną pomoc: acob Prezant (prezant.us).

Siri

Dziękujemy za udzieloną pomoc: Yoav Magid.

UIKit

Dziękujemy za udzieloną pomoc: Shaheen Fazim.

WebKit

Dziękujemy za udzieloną pomoc: Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.

WebRTC

Dziękujemy za udzieloną pomoc: Hyeonji Son (@jir4vv1t) z Demon Team.

Wi-Fi

Dziękujemy za udzieloną pomoc: Yusuf Kelany.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 15 maja 2026 г.