.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Az iOS 26.5 és az iPadOS 26.5 biztonsági változásjegyzéke

Ez a dokumentum az iOS 26.5 és az iPadOS 26.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 26.5 és iPadOS 26.5

Kiadás dátuma: 2026. május 11.

Accelerate

A következőkön érhető el: iPhone 11 és újabb modellek, 12,9 hüvelykes iPad Pro (3. generáció és újabb modellek), 11 hüvelykes iPad Pro (1. generáció és újabb modellek), 3. generációs iPad Air és újabb modellek, 8. generációs iPad és újabb modellek, 5. generációs iPad mini és újabb modellek

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28988: Asaf Cohen

APFS

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28959: Dave G.

App Intents

Érintett terület: A rosszindulatú appok adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_), Reverse Society

AppleJPEG

Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2026-1837

AppleJPEG

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2026-28956: impost0r (ret2plt)

Audio

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat leállását okozta

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-39869: David Ige, Beryllium Security

CoreAnimation

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28936: Andreas Jaegersberger és Ro Achterberg, Nosebeard Labs

CoreSymbolication

Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-28918: Niels Hofmans, anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

FileProvider

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-43659: Alex Radocea

ImageIO

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2026-43661: anonim kutató

ImageIO

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-28977: Suresh Sundaram

ImageIO

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória kiosztását.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve olvasni tudtak a kernelmemóriában.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2026-43655: Somair Ansar és egy anonim kutató

Kernel

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong és Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd.; Robert Tran, Aswin kumar Gokulakannan

Kernel

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28951: Csaba Fitzl (@theevilbit), Iru

Kernel

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2026-28972: Billy Jheng Bing Jhong és Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd.; Ryan Hileman, Xint Code (xint.io)

Kernel

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28986: Chris Betz és Tristan Madani (@TristanInSec), Talence Security; Ryan Hileman, Xint Code (xint.io)

Kernel

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-43653: Atul R V

mDNSResponder

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28940: Michael DePlante (@izobashi), TrendAI Zero Day Initiative

Networking

Érintett terület: A támadók nyomon tudták követni a felhasználókat az IP-címük alapján.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2026-43656: Peter Malone

SceneKit

Érintett terület: Távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28846: Peter Malone

Screenshots

A következőkhöz érhető el: iPhone 15 és újabb modellek

Érintett terület: A Vizuális Intelligencia segítségével a fizikai hozzáféréssel rendelkező támadók hozzá tudtak férni bizalmas felhasználói adatokhoz iPhone-tükrözés közben

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el azt az adatvédelmi problémát.

CVE-2026-28963: Jorge Welch

Shortcuts

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2026-28993: Doron Assness

Spotlight

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Úgy hárítottuk el a problémát, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.

CVE-2026-28974: Andy Koo (@andykoo), Hexens

Status Bar

Érintett terület: Előfordult, hogy az alkalmazások rögzíteni tudták a felhasználó képernyőjét.

Leírás: Továbbfejlesztett logikával elhárítottuk azt a problémát, amely miatt az alkalmazások nem tudtak hozzáférni a kamera metaadataihoz.

CVE-2026-28957: Adriatik Raci

Storage

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28996: Alex Radocea

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu és Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonim kutató a Trend Micro Zero Day Initiative közreműködőjeként, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac és Kookhwan Lee a Trend Micro Zero Day Initiative közreműködőjeként

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec), Talence Security; Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: az Aisle offenzív biztonsággal foglalkozó kutatócsapata (Joshua Rogers, Luigino Camastra, Igor Morgenstern és Guido Vranken); Maher Azzouzi, Ngan Nguyen, Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: anonim kutató

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr és Nicholas Carlini, Claude, Anthropic

WebKit

Érintett terület: A rosszindulatú iframe-ek képesek lehettek használni egy másik webhely letöltési beállításait

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu, Palo Alto Networks; Jérôme DJOUDER, dr3dd

Wi-Fi

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni Wi-Fi-csomagok létrehozásával

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-28994: Alex Radocea

WidgetKit

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia), Safran Mumbai India

zlib

Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28920: Brendon Tiszka, Google Project Zero

További köszönetnyilvánítás

App Intents

Köszönjük Mikael Kinnman segítségét.

Apple Account

Köszönjük Iván Savransky és YingQi Shi (@Mas0nShi, DBAppSecurity, WeBin lab) segítségét.

Audio

Köszönjük Brian Carpenter segítségét.

AuthKit

Köszönjük Gongyu Ma (@Mezone0) segítségét.

CoreUI

Köszönjük Mustafa Calap segítségét.

ICU

Köszönjük egy anonim kutató segítségét.

Kernel

Köszönjük Ryan Hileman (Xint Code, xint.io), Suresh Sundaram, valamint egy anonim kutató segítségét.

libnetcore

Köszönjük Chris Staite és David Hardy (Menlo Security Inc) segítségét.

Libnotify

Köszönjük Ilias Morad (@A2nkF_) segítségét.

Location

Köszönjük Kun Peeks (@SwayZGl1tZyyy) segítségét.

Mail

Köszönjük Himanshu Bharti (@Xpl0itme, Khatima) segítségét.

mDNSResponder

Köszönjük Jason Grove segítségét.

Messages

Köszönjük Bishal Kafle és Jeffery Kimbrow segítségét.

Multi-Touch

Köszönjük Asaf Cohen segítségét.

Notes

Köszönjük Asilbek Salimov és Mohamed Althaf segítségét.

Photos

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) és Christopher Mathews segítségét.

Safari Private Browsing

Köszönjük Dalibor Milanovic segítségét.

Shortcuts

Köszönjük Jacob Prezant (prezant.us) segítségét.

Siri

Köszönjük Yoav Magid segítségét.

UIKit

Köszönjük Shaheen Fazim segítségét.

WebKit

Köszönjük Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera és Vitaly Simonovich segítségét.

WebRTC

Köszönjük Hyeonji Son (@jir4vv1t), Demon Team segítségét.

Wi-Fi

Köszönjük Yusuf Kelany segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2026. május 15.