.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 26.5 и iPadOS 26.5

В этом документе описаны проблемы системы безопасности, устраненные в iOS 26.5 и iPadOS 26.5.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iOS 26.5 и iPadOS 26.5

Дата выпуска: 11 мая 2026 г.

Accelerate

Целевые продукты: iPhone 11 и более поздних моделей, iPad Pro 12,9 дюйма 3-го или более позднего поколения, iPad Pro 11 дюймов 1-го или более позднего поколения, iPad Air 3-го или более позднего поколения, iPad 8-го или более позднего поколения, iPad mini 5-го или более позднего поколения

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Воздействие. Приложение может обходить определенные настройки конфиденциальности.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-28988: Asaf Cohen

APFS

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2026-28959: Dave G.

App Intents

Воздействие. Вредоносное приложение может выходить за границы песочницы.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) для Reverse Society

AppleJPEG

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2026-1837

AppleJPEG

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2026-28956: impost0r (ret2plt)

Audio

Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-39869: David Ige из Beryllium Security

CoreAnimation

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2026-28936: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

CoreSymbolication

Воздействие. Анализ вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-28918: Niels Hofmans, анонимный исследователь в сотрудничестве с TrendAI в рамках программы Zero Day Initiative

FileProvider

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2026-43659: Alex Radocea

ImageIO

Воздействие. Обработка вредоносного изображения может привести к повреждению памяти процессов.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2026-43661: анонимный исследователь

ImageIO

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2026-28977: Suresh Sundaram

ImageIO

Воздействие. Обработка вредоносного изображения может привести к повреждению памяти процессов.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Уязвимость, связанная с повреждением данных в памяти, устранена путем улучшения блокировки.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-28943: подразделение Threat Analysis Group компании Google

IOKit

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Воздействие. Приложение может вызывать неожиданное завершение работы системы или считывать данные из памяти ядра.

CVE-2026-43655: Somair Ansar и анонимный исследователь

Kernel

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки ввода.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong и Pan Zhenpeng (@Peterpan0927) из STAR Labs SG Pte. Ltd., Robert Tran, Aswin Kumar Gokulakannan

Kernel

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2026-28951: Csaba Fitzl (@theevilbit) из Iru

Kernel

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2026-28972: Billy Jheng Bing Jhong и Pan Zhenpeng (@Peterpan0927) из STAR Labs SG Pte. Ltd., Ryan Hileman при посредничестве Xint Code (xint.io)

Kernel

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) из Talence Security, Ryan Hileman при посредничестве Xint Code (xint.io)

Kernel

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-43653: Atul R V

mDNSResponder

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.

Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Воздействие. Злоумышленник может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Воздействие. Обработка вредоносного изображения может привести к повреждению памяти процессов.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28940: Michael DePlante (@izobashi) в сотрудничестве с TrendAI в рамках программы Zero Day Initiative

Networking

Воздействие. Злоумышленник может отслеживать пользователей через IP-адреса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Воздействие. Анализ вредоносного файла может приводить к неожиданному завершению работы приложения.

CVE-2026-43656: Peter Malone

SceneKit

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2026-28846: Peter Malone

Screenshots

Целевые продукты: iPhone 15 и более поздних моделей

Воздействие. Злоумышленник с физическим доступом к устройству может воспользоваться функцией «Визуальный интеллект» и завладеть конфиденциальными данными пользователя во время использования функции «Видеоповтор iPhone».

Описание. Проблема конфиденциальности устранена путем удаления уязвимого кода.

CVE-2026-28963: Jorge Welch

Shortcuts

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Эта проблема была устранена посредством добавления дополнительного запроса для подтверждения согласия пользователя.

CVE-2026-28993: Doron Assness

Spotlight

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.

CVE-2026-28974: Andy Koo (@andykoo) из Hexens

Status Bar

Воздействие. Приложение может записывать изображение с экрана пользователя.

Описание. Проблема с доступом приложения к метаданным камеры устранена путем улучшения логики.

CVE-2026-28957: Adriatik Raci

Storage

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2026-28996: Alex Radocea

WebKit

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Проблема с проверкой устранена путем улучшения логики.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Описание. Проблема устранена путем улучшения проверки ввода.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.

Описание. Проблема устранена путем улучшения ограничений доступа.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu и Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), анонимный исследователь в сотрудничестве с TrendAI в рамках программы Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac и Kookhwan Lee в сотрудничестве с TrendAI в рамках программы Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) из Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: команда исследователей Offensive Security (Joshua Rogers, Luigino Camastra, Igor Morgenstern и Guido Vranken) из Aisle, Maher Azzouzi, Ngan Nguyen из Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: анонимный исследователь

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения защиты данных.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверки ввода.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr и Nicholas Carlini с помощью Claude, Anthropic

WebKit

Воздействие. Вредоносный элемент iframe может использовать настройки загрузки другого веб-сайта.

Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu из Palo Alto Networks, Jérôme Djouder, dr3dd

Wi-Fi

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить атаку типа «отказ в обслуживании» с помощью собственноручно созданных пакетов Wi-Fi.

CVE-2026-28994: Alex Radocea

WidgetKit

Воздействие. Пользователь может просматривать содержимое с ограниченным доступом на экране блокировки.

Описание. Проблема с конфиденциальностью устранена путем улучшения проверок.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) из Safran (Мумбаи, Индия)

zlib

Воздействие. Посещение вредоносного веб-сайта может приводить к утечке конфиденциальных данных.

Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.

CVE-2026-28920: Brendon Tiszka из Google Project Zero

Дополнительные благодарности

App Intents

Выражаем благодарность за помощь Mikael Kinnman.

Apple Account

Выражаем благодарность за помощь Iván Savransky, YingQi Shi (@Mas0nShi) из лаборатории WeBin компании DBAppSecurity.

Audio

Выражаем благодарность за помощь Brian Carpenter.

AuthKit

Выражаем благодарность за помощь пользователю Gongyu Ma (@Mezone0).

CoreUI

Выражаем благодарность за помощь Mustafa Calap.

ICU

Выражаем благодарность за помощь анонимному исследователю.

Kernel

Выражаем благодарность за помощь Ryan Hileman при посредничестве Xint Code (xint.io), Suresh Sundaram, анонимному исследователю.

libnetcore

Выражаем благодарность за помощь Chris Staite и David Hardy из Menlo Security Inc.

Libnotify

Выражаем благодарность за помощь Ilias Morad (@A2nkF_).

Location

Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy).

Mail

Выражаем благодарность за помощь Himanshu Bharti (@Xpl0itme) из Khatima.

mDNSResponder

Выражаем благодарность за помощь Jason Grove.

Messages

Выражаем благодарность за помощь Bishal Kafle, Jeffery Kimbrow.

Multi-Touch

Выражаем благодарность за помощь Asaf Cohen.

Notes

Выражаем благодарность за помощь Asilbek Salimov, Mohamed Althaf.

Photos

Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Safran (Мумбаи, Индия), Christopher Mathews.

Safari Private Browsing

Выражаем благодарность за помощь пользователю Dalibor Milanovic.

Shortcuts

Выражаем благодарность за помощь Jacob Prezant (prezant.us).

Siri

Выражаем благодарность за помощь Yoav Magid.

UIKit

Выражаем благодарность за помощь Shaheen Fazim.

WebKit

Выражаем благодарность за помощь Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.

WebRTC

Выражаем благодарность за помощь Hyeonji Son (@jir4vv1t) из Demon Team.

Wi-Fi

Выражаем благодарность за помощь пользователю Yusuf Kelany.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 15 мая 2026 г.