.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Om säkerhetsinnehållet i iOS 26.5 och iPadOS 26.5

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 26.5 och iPadOS 26.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

iOS 26.5 och iPadOS 26.5

Släpptes den 11 maj 2026

Accelerate

Tillgänglig för: iPhone 11 och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Effekt: En app kan kringgå vissa inställningar för Integritet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28988: Asaf Cohen

APFS

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28959: Dave G.

App Intents

Effekt: En app med skadligt innehåll kan bryta sig ut från sin sandlåda

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) för Reverse Society

AppleJPEG

Effekt: Bearbetning av en skadlig bild kan leda till ett dos-angrep

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2026-1837

AppleJPEG

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2026-28956: impost0r (ret2plt)

Audio

Effekt: Om du bearbetar en ljudstream i en skadlig mediefil kan det leda till att processen avslutas

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-39869: David Ige på Beryllium Security

CoreAnimation

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2026-28936: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

CoreSymbolication

Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-28918: Niels Hofmans, anonym i samarbete med TrendAI Zero Day Initiative

FileProvider

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-43659: Alex Radocea

ImageIO

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2026-43661: en anonym forskare

ImageIO

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2026-28977: Suresh Sundaram

ImageIO

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Effekt: En app kan ta reda på schemat för kernelminnet

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Effekt: En app kanske kan orsaka en oväntad systemavstängning eller en läsning till kernelminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-43655: Somair Ansar och en anonym forskare

Kernel

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett buffertspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong och Pan Zhenpeng (@Peterpan0927) på STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28951: Csaba Fitzl (@theevilbit) på Iru

Kernel

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2026-28972: Billy Jheng Bing Jhong och Pan Zhenpeng (@Peterpan0927) på STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) från Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-43653: Atul R V

mDNSResponder

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28940: Michael DePlante (@izobashi) på TrendAI Zero Day Initiative

Networking

Effekt: En angripare kan spåra användare via deras IP-adress

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2026-43656: Peter Malone

SceneKit

Effekt: En fjärrangripare kanske kan orsaka en oväntad appavslutning

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28846: Peter Malone

Screenshots

Tillgängligt för: iPhone 15 och senare

Effekt: En angripare med fysisk åtkomst kanske kan använda Visual Intelligence för att få åtkomst till känsliga användardata under iPhone-dubblering

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av den sårbara koden.

CVE-2026-28963: Jorge Welch

Shortcuts

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Det här problemet åtgärdades genom att lägga till en extra uppmaning om användarens samtycke.

CVE-2026-28993: Doron Assness

Spotlight

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Problemet åtgärdades med förbättrade kontroller som förhindrar obehöriga åtgärder.

CVE-2026-28974: Andy Koo (@andykoo) på Hexens

Status Bar

Effekt: En app kan registrera en användares skärm

Beskrivning: Ett problem med appåtkomst till kamerametadata åtgärdades med förbättrad logik.

CVE-2026-28957: Adriatik Raci

Storage

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-28996: Alex Radocea

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation

Beskrivning: Problemet åtgärdades genom ytterligare åtkomstbegränsningar.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong/kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu och Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonym i samarbete med TrendAI Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac och Kookhwan Lee i samarbete med TrendAI Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) från Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aisles offensiva säkerhetsforskningsteam (Joshua Rogers, Luigino Camastra, Igor Morgenstern och Guido Vranken), Maher Azzouzi, Ngan Nguyen på Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: en anonym forskare

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr och Nicholas Carlini med Claude, Anthropic

WebKit

Effekt: En skadlig iframe kan använda en annan webbplats hämtningsinställningar

Beskrivning: Problemet åtgärdades med förbättrad hantering av användargränssnittet.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu på Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Effekt: En angripare i en privilegierad nätverksposition kanske kan utföra ett DoS-angrepp med hjälp av särskilt utformade Wi-Fi-paket

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-28994: Alex Radocea

WidgetKit

Effekt: En användare kan visa begränsat innehåll via låsskärmen

Beskrivning: Ett integritetsfel åtgärdades med förbättrade kontroller.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India

zlib

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28920: Brendon Tiszka på Google Project Zero

Ytterligare tack

App Intents

Vi vill tacka Mikael Kinnman för hjälpen.

Apple Account

Vi vill tacka Iván Savransky och YingQi Shi (@Mas0nShi) på DBAppSecurity's WeBin lab för hjälpen.

Audio

Vi vill tacka Brian Carpenter för hjälpen.

AuthKit

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

CoreUI

Vi vill tacka Mustafa Calap för hjälpen.

ICU

Vi vill tacka en anonym forskare för hjälpen.

Kernel

Vi vill tacka Ryan Hileman via Xint Code (xint.io), Suresh Sundaram och en anonym forskare för hjälpen.

libnetcore

Vi vill tacka Chris Staite och David Hardy på Menlo Security Inc för hjälpen.

Libnotify

Vi vill tacka Ilias Morad (@A2nkF_) för hjälpen.

Location

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy) för hjälpen.

Mail

Vi vill tacka Himanshu Bharti (@Xpl0itme) från Khatima för hjälpen.

mDNSResponder

Vi vill tacka Jason Grove för hjälpen.

Messages

Vi vill tacka Bishal Kafle och Jeffery Kimbrow för hjälpen.

Multi-Touch

Vi vill tacka Asaf Cohen för hjälpen.

Notes

Vi vill tacka Asilbek Salimov och Mohamed Althaf för hjälpen.

Photos

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India och Christopher Mathews för hjälpen.

Safari Private Browsing

Vi vill tacka Dalibor Milanovic för hjälpen.

Shortcuts

Vi vill tacka Jacob Prezant (prezant.us) för hjälpen.

Siri

Vi vill tacka Yoav Magid för hjälpen.

UIKit

Vi vill tacka Shaheen Fazim för hjälpen.

WebKit

Vi vill tacka Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera och Vitaly Simonovich för hjälpen.

WebRTC

Vi vill tacka Hyeonji Son (@jir4vv1t) från Demon Team för hjälpen.

Wi-Fi

Vi vill tacka Yusuf Kelany för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 15 maj 2026