.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Проблеми системи безпеки, які усунено в оновленнях iOS 26.5 та iPadOS 26.5

У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 26.5 та iPadOS 26.5.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 26.5 та iPadOS 26.5

Дата випуску: 11 травня 2026 р.

Accelerate

Цільові продукти: iPhone 11 і новіші моделі, iPad Pro 12,9 дюйма 3-го або новішого покоління, iPad Pro 11 дюймів 1-го або новішого покоління, iPad Air 3-го або новішого покоління, iPad 8-го або новішого покоління, а також iPad mini 5-го або новішого покоління

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Вплив: програма може обходити певні параметри приватності.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2026-28988: Asaf Cohen

APFS

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28959: Dave G.

App Intents

Вплив: шкідлива програма може виходити за межі ізольованого середовища.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) у співпраці з Reverse Society

AppleJPEG

Вплив: обробка шкідливого зображення може призводити до відмови в обслуговуванні.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2026-1837

AppleJPEG

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2026-28956: користувач impost0r (ret2plt)

Audio

Вплив: обробка аудіопотоку в шкідливому медіафайлі може призводити до переривання процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-39869: David Ige з Beryllium Security

CoreAnimation

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2026-28936: Andreas Jaegersberger та Ro Achterberg із Nosebeard Labs

CoreSymbolication

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2026-28918: Niels Hofmans, анонімний дослідник, що співпрацює з компанією TrendAI у межах ініціативи Zero Day Initiative

FileProvider

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2026-43659: Alex Radocea

ImageIO

Вплив: обробка шкідливого зображення може призводити до пошкодження пам’яті процесів.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2026-43661: анонімний дослідник

ImageIO

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28977: Suresh Sundaram

ImageIO

Вплив: обробка шкідливого зображення може призводити до пошкодження пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: уразливість, пов’язану з пошкодженням пам’яті, вирішено шляхом поліпшення блокування.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Вплив: зловмисна програма може визначати схему розподілу пам’яті в ядрі.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2026-28943: група аналізу загроз Google

IOKit

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Вплив: програма може спричиняти несподіване завершення роботи системи або зчитувати пам’ять ядра.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-43655: Somair Ansar і анонімний дослідник

Kernel

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Вплив: локальний користувач може спричиняти несподіване завершення роботи системи або зчитувати пам’ять ядра.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки вводу.

CVE-2026-28897: користувач popku1337, Billy Jheng Bing Jhong і Pan Zhenpeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd., Robert Tran, Aswin Kumar Gokula Kannan

Kernel

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2026-28951: Csaba Fitzl (@theevilbit) з Iru

Kernel

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2026-28972: Billy Jheng Bing Jhong і Pan Zhenpeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd., Ryan Hileman (з використанням Xint Code; xint.io)

Kernel

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) з Talence Security, Ryan Hileman (з використанням Xint Code; xint.io)

Kernel

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Вплив: зловмисник може віддалено спричинити відмову в обслуговуванні.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-43653: Atul R V

mDNSResponder

Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.

Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Вплив: зловмисник може віддалено спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Вплив: обробка шкідливого зображення може призводити до пошкодження пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-28940: Michael DePlante (@izobashi), що співпрацює з компанією TrendAI у межах ініціативи Zero Day Initiative

Networking

Вплив: зловмисник може відстежувати користувачів через IP-адреси.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2026-43656: Peter Malone

SceneKit

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2026-28846: Peter Malone

Screenshots

Цільові продукти: iPhone 15 і новіші моделі

Вплив: зловмисник із фізичним доступом може отримати доступ до приватних даних користувача за допомогою візуального інтелекту під час використання функції «Дублювання iPhone».

Опис: проблему з приватністю вирішено завдяки видаленню вразливого коду.

CVE-2026-28963: Jorge Welch

Shortcuts

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунено завдяки додаванню додаткового запиту згоди користувача.

CVE-2026-28993: Doron Assness

Spotlight

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: цю проблему усунено завдяки поліпшенню перевірок для запобігання несанкціонованим діям.

CVE-2026-28974: Andy Koo (@andykoo) з Hexens

Status Bar

Вплив: програма може робити знімки екрана користувача.

Опис: проблему з доступом програми до метаданих камери вирішено за допомогою покращення логіки.

CVE-2026-28957: Adriatik Raci

Storage

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2026-28996: Alex Radocea

WebKit

Вплив: обробка зловмисного вебконтенту може завадити застосуванню політики безпеки контенту.

Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Вплив: обробка зловмисного вебконтенту може завадити застосуванню політики безпеки контенту.

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Вплив: обробка шкідливого вебконтенту може призводити до розкриття конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню обмежень доступу.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, користувач greenbynox

WebKit

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu та Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), анонімний дослідник, що співпрацює з компанією TrendAI у межах ініціативи Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: користувач wac і Kookhwan Lee, що співпрацює з компанією TrendAI у межах ініціативи Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) з Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: дослідницька група з питань способів зламування компанії Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern і Guido Vranken), Maher Azzouzi, Ngan Nguyen із Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: анонімний дослідник

WebKit

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

WebKit Bugzilla: 310234

CVE-2026-28947: користувач dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr і Nicholas Carlini в співпраці з Claude, Anthropic

WebKit

Вплив: шкідливий елемент iframe може використовувати параметри завантаження іншого вебсайту.

Опис: проблему вирішено завдяки вдосконаленню обробки інтерфейсу користувача.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu з Palo Alto Networks, Jérôme DJOUDER, користувач dr3dd

Wi-Fi

Вплив: зловмисник із привілейованим положенням у мережі може спричинити відмову в обслуговуванні за допомогою неправильно сформованих пакетів Wi-Fi.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-28994: Alex Radocea

WidgetKit

Вплив: користувач може переглядати обмежений вміст із замкненого екрана.

Опис: проблему з приватністю вирішено завдяки вдосконаленню перевірок.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) із Safran (Мумбай, Індія)

zlib

Вплив: відвідування шкідливого вебсайту може призвести до витоку конфіденційних даних.

Опис: витік інформації було усунено за допомогою додаткової перевірки.

CVE-2026-28920: Brendon Tiszka з Google Project Zero

Додаткова подяка

App Intents

Дякуємо за допомогу користувачу Mikael Kinnman.

Apple Account

Дякуємо за допомогу користувачам Iván Savransky, YingQi Shi (@Mas0nShi) з лабораторії WeBin компанії DBAppSecurity.

Audio

Дякуємо за допомогу користувачу Brian Carpenter.

AuthKit

Дякуємо за допомогу Gongyu Ma (@Mezone0).

CoreUI

Дякуємо за допомогу користувачу Mustafa Calap.

ICU

Дякуємо за допомогу анонімному досліднику.

Kernel

Дякуємо за допомогу користувачу Ryan Hileman і команді розробників Xint Code (xint.io), Suresh Sundaram, анонімному досліднику.

libnetcore

Дякуємо за допомогу користувачам Chris Staite і David Hardy з Menlo Security Inc.

Libnotify

Дякуємо за допомогу користувачу Ilias Morad (@A2nkF_).

Location

Дякуємо за допомогу Kun Peeks (@SwayZGl1tZyyy).

Mail

Дякуємо за допомогу користувачу Himanshu Bharti (@Xpl0itme) з Khatima.

mDNSResponder

Дякуємо за допомогу користувачу Jason Grove.

Messages

Дякуємо за допомогу користувачам Bishal Kafle та Jeffery Kimbrow.

Multi-Touch

Дякуємо за допомогу користувачу Asaf Cohen.

Notes

Дякуємо за допомогу користувачам Asilbek Salimov і Mohamed Althaf.

Photos

Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) із Safran (Мумбай, Індія) і Christopher Mathews.

Safari Private Browsing

Дякуємо за допомогу користувачу Dalibor Milanovic.

Shortcuts

Дякуємо за допомогу користувачу Jacob Prezant (prezant.us).

Siri

Дякуємо за допомогу користувачу Yoav Magid.

UIKit

Дякуємо Shaheen Fazim за допомогу.

WebKit

Дякуємо за допомогу користувачам Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.

WebRTC

Дякуємо за допомогу користувачу Hyeonji Son (@jir4vv1t) з Demon Team.

Wi-Fi

Дякуємо за допомогу Yusuf Kelany.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: травня 15, 2026