.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Obsah zabezpečenia v systémoch iOS 26.5 a iPadOS 26.5

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 26.5 a iPadOS 26.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 26.5 a iPadOS 26.5

Dátum vydania: 11. mája 2026

Accelerate

Dostupné pre: iPhone 11 a novší, 12,9-palcový iPad Pro (3. generácia a novší), 11-palcový iPad Pro (1. generácia a novší), iPad Air (3. generácia a novší), iPad (8. generácia a novší) a iPad mini (5. generácia a novší)

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28988: Asaf Cohen

APFS

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28959: Dave G.

App Intents

Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) z tímu Reverse Society

AppleJPEG

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2026-1837

AppleJPEG

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže ukončiť proces

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-39869: David Ige z tímu Beryllium Security

CoreAnimation

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28936: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

CoreSymbolication

Dosah: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28918: Niels Hofmans, anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI

FileProvider

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-43659: Alex Radocea

ImageIO

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43661: anonymný výskumník

ImageIO

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28943: Threat Analysis Group spoločnosti Google

IOKit

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-43655: Somair Ansar a anonymný výskumník

Kernel

Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28951: Csaba Fitzl (@theevilbit) z tímu Iru

Kernel

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd., Ryan Hileman cez Xint Code (xint.io)

Kernel

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) z tímu Talence Security, Ryan Hileman cez Xint Code (xint.io)

Kernel

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43653: Atul R V

mDNSResponder

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28940: Michael DePlante (@izobashi) v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI

Networking

Dosah: Útočník môže byť schopný sledovať používateľov prostredníctvom ich IP adresy

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-28906: Ilya Sc. Jowell A.

Quick Look

Dosah: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-43656: Peter Malone

SceneKit

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28846: Peter Malone

Screenshots

Dostupné pre: iPhone 15 a novší

Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom vizuálnej inteligencie prístup k citlivým údajom používateľa počas zrkadlenia iPhonu

Popis: Problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2026-28963: Jorge Welch

Shortcuts

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2026-28993: Doron Assness

Spotlight

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2026-28974: Andy Koo (@andykoo) z tímu Hexens

Status Bar

Dosah: Apka môže byť schopná zaznamenávať obrazovku používateľa

Popis: Problém s prístupom apky k metadátam kamery bol vyriešený vylepšením logiky.

CVE-2026-28957: Adriatik Raci

Storage

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28996: Alex Radocea

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením obmedzení prístupu.

WebKit Bugzilla: 309698

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong/kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu a Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac a Kookhwan Lee v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) z tímu Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aisle Offensive Security Research Team (Joshua Rogers, Luigino Camastra, Igor Morgenstern a Guido Vranken), Maher Azzouzi, Ngan Nguyen z tímu Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: anonymný výskumník

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

WebKit Bugzilla: 311228

CVE-2026-28958: Cantina

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr a Nicholas Carlini z tímu Claude, Anthropic

WebKit

Dopad: Prvok iframe so škodlivým kódom môže používať nastavenia sťahovania inej webovej stránky

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

WebKit Bugzilla: 311288

CVE-2026-28971: Khiem Tran

WebRTC

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 311131

CVE-2026-28944: Kenneth Hsu z tímu Palo Alto Networks, Jérôme DJOUDER, dr3dd

Wi-Fi

Dopad: Útočník s oprávneniami v sieti môže byť schopný vykonať útok zameraný na odmietnutie služby pomocou upravených paketov Wi-Fi

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28994: Alex Radocea

WidgetKit

Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke

Popis: Dochádzalo k problému so súkromím, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-28965: Abhay Kailasia (@abhay_kailasia) z tímu Safran Mumbai India

zlib

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých dát

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28920: Brendon Tiszka z tímu Google Project Zero

Ďalšie poďakovanie

App Intents

Poďakovanie za pomoc si zaslúži Mikael Kinnman.

Apple Account

Poďakovanie za pomoc si zaslúžia Iván Savransky, YingQi Shi (@Mas0nShi) z laboratória WeBin spoločnosti DBAppSecurity.

Audio

Poďakovanie za pomoc si zaslúži Brian Carpenter.

AuthKit

Poďakovanie za pomoc si zaslúži Gongyu Ma (@Mezone0).

CoreUI

Poďakovanie za pomoc si zaslúži Mustafa Calap.

ICU

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Kernel

Poďakovanie za pomoc si zaslúžia Ryan Hileman cez Xint Code (xint.io), Suresh Sundaram, anonymný výskumník.

libnetcore

Poďakovanie za pomoc si zaslúžia Chris Staite a David Hardy z tímu Menlo Security Inc.

Libnotify

Poďakovanie za pomoc si zaslúži Ilias Morad (@A2nkF_).

Location

Poďakovanie za pomoc si zaslúži Kun Peeks (@SwayZGl1tZyyy).

Mail

Poďakovanie za pomoc si zaslúži Himanshu Bharti (@Xpl0itme) z tímu Khatima.

mDNSResponder

Poďakovanie za pomoc si zaslúži Jason Grove.

Messages

Poďakovanie za pomoc si zaslúžia Bishal Kafle, Jeffery Kimbrow.

Multi-Touch

Poďakovanie za pomoc si zaslúži Asaf Cohen.

Notes

Poďakovanie za pomoc si zaslúžia Asilbek Salimov, Mohamed Althaf.

Photos

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z tímu Safran Mumbai India, Christopher Mathews.

Safari Private Browsing

Poďakovanie za pomoc si zaslúži Dalibor Milanovic.

Shortcuts

Poďakovanie za pomoc si zaslúži Jacob Prezant (prezant.us).

Siri

Poďakovanie za pomoc si zaslúži Yoav Magid.

UIKit

Poďakovanie za pomoc si zaslúži Shaheen Fazim.

WebKit

Poďakovanie za pomoc si zaslúžia Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.

WebRTC

Poďakovanie za pomoc si zaslúži Hyeonji Son (@jir4vv1t) z tímu Demon Team.

Wi-Fi

Poďakovanie za pomoc si zaslúži Yusuf Kelany.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 15. mája 2026