O iOS 26.5 trouxe a correção de mais de 50 vulnerabilidades em componentes críticos do sistema operativo da Apple, num ciclo que se estende até ao iOS 15.8.8 e cobre dispositivos lançados há mais de uma década.
A atualização, lançada a 11 de maio de 2026, abrange falhas graves no kernel, no WebKit, no Wi-Fi e no mDNSResponder, e chega acompanhada de atualizações de segurança para iPadOS, macOS, watchOS, tvOS e visionOS. Para além das correções de segurança, o iOS 26.5 introduziu a encriptação RCS entre iPhone e Android em fase beta.
Falhas críticas no kernel e no WebKit
As vulnerabilidades corrigidas no iOS 26.5 incluem falhas de elevada gravidade que permitiam a uma aplicação maliciosa obter privilégios de root no dispositivo. A CVE-2026-28951, no componente kernel, possibilita a escalada de privilégios até ao nível de root através de uma falha de autorização. A CVE-2026-28897 permitia a um utilizador local causar a terminação inesperada do sistema ou ler memória do kernel, por via de um buffer overflow. A CVE-2026-28972, também no kernel, permitia a uma aplicação causar a terminação do sistema ou escrever em memória do kernel através de uma escrita fora dos limites.
A CVE-2026-28995, no componente App Intents, permitia a uma aplicação maliciosa escapar do seu ambiente de execução isolado e aceder a recursos do sistema fora do seu alcance, através de uma falha de lógica. Este tipo de vulnerabilidade é considerado crítico por abrir caminho a cadeias de exploração combinadas com outras falhas.
O WebKit, o motor de renderização que alimenta o Safari e todas as aplicações de navegação no iOS, concentra o maior número de correções individuais desta atualização. As falhas documentadas pela nota de segurança oficial da Apple incluem múltiplas instâncias de use-after-free e falhas de gestão de memória, exploráveis através de páginas web manipuladas sem interação adicional do utilizador.
Falha no Wi-Fi e a presença da IA na investigação de segurança
No componente Wi-Fi, a CVE-2026-28994, descoberta por Alex Radocea, permitia a um atacante em posição privilegiada na rede executar um ataque de negação de serviço por via de pacotes Wi-Fi manipulados. A exploração desta falha não requer acesso físico ao dispositivo, bastando que o atacante esteja na mesma rede.
Uma entrada incomum na lista de CVEs corrigidos é a CVE-2026-28942, no WebKit, atribuída a “Milad Nasr and Nicholas Carlini with Claude, Anthropic”. A atribuição indica que investigadores assistidos por inteligência artificial participaram na deteção desta vulnerabilidade, um sinal do papel crescente dos sistemas de IA generativa na investigação de segurança. O setor começa a debater se esta tendência acelera mais rapidamente a descoberta de falhas pelos defensores ou pelos atacantes.
A Malwarebytes, numa análise ao ciclo deatualizações de segurança da Apple em 2026, sublinhou que os utilizadores que adiam a instalação de atualizações ficam progressivamente mais expostos, à medida que as falhas corrigidas se tornam públicas e passam a integrar ferramentas de ataque disponíveis.
Patches estendidos até ao iOS 15: o que significa na prática
As vulnerabilidades corrigidas no iOS 26.5 não ficaram limitadas aos dispositivos mais recentes. A Apple lançou em simultâneo atualizações de segurança para o iOS 18.7.9, iOS 16.7.16 e iOS 15.8.8, bem como para o iPadOS 18.7.9, iPadOS 17.7.11, iPadOS 16.7.16 e iPadOS 15.8.8, além do macOS Sequoia 15.7.7 e macOS Sonoma 14.8.7, conforme documentado na página de lançamentos de segurança da Apple.
O iOS 15.8.8 inclui a correção da CVE-2026-28950, uma falha de privacidade em notificações que também integrou o iOS 26.4.2, lançado em abril. A vulnerabilidade permitia que conteúdo de notificações marcado para eliminação persistisse em registos do sistema, onde ferramentas forenses ou código malicioso o podiam recuperar.
A extensão de patches até ao iOS 15 é uma prática invulgar no setor. A Apple não publica uma política de suporte de segurança com prazos definidos, ao contrário da Microsoft com o Windows ou do Google com o Android Enterprise, o que deixa os utilizadores sem uma referência clara sobre quando o suporte termina.
Um ciclo de correções cada vez mais abrangente
As vulnerabilidades corrigidas no iOS 26.5 inserem-se num padrão de correções que a Apple tem mantido ao longo de 2026. Em fevereiro, a empresa corrigiu o CVE-2026-20700, um zero-day no componente dyld descrito pela Apple como usado num “ataque extremamente sofisticado contra indivíduos específicos”. Em março, a Apple introduziu o mecanismo de Background Security Improvements, desenhado para entregar correções mais ligeiras entre atualizações principais.
O volume e a abrangência deste ciclo reforçam a pressão sobre os fabricantes Android para adotarem políticas de suporte de longa duração equivalentes. A fragmentação do ecossistema Android continua a deixar uma parte significativa de dispositivos sem acesso a correções de segurança atempadas.
Conclusão analítica
O ciclo de correções do iOS 26.5 documenta mais de 50 falhas resolvidas num único lançamento, com cobertura que vai do kernel ao WebKit e se estende até a dispositivos de 2015. A presença de investigadores assistidos por IA na lista de descobertas é um dado novo no contexto da cibersegurança móvel, com implicações que ultrapassam esta atualização. Os utilizadores com dispositivos mais antigos, incluindo iPhones com iOS 15, têm neste ciclo uma razão concreta para atualizar sem demora.
As perguntas mais frequentes sobre as vulnerabilidades do iOS 26.5 são:
Quais as vulnerabilidades mais graves corrigidas no iOS 26.5?
As falhas mais críticas incluem a CVE-2026-28951, que permitia escalada de privilégios até ao nível de root no kernel, a CVE-2026-28897, que expunha memória do kernel, e a CVE-2026-28995, no componente App Intents, que permitia escapar do ambiente de execução isolado. Todas foram corrigidas na atualização de 11 de maio de 2026.
O iOS 15 ainda recebe correções de segurança em 2026?
Sim. A Apple lançou o iOS 15.8.8 em simultâneo com o iOS 26.5, com a correção da CVE-2026-28950, uma falha de privacidade em notificações. A Apple não publica prazos definidos para o fim do suporte de segurança a versões mais antigas do sistema operativo.
O que significa a IA ter descoberto uma vulnerabilidade no iOS 26.5?
A CVE-2026-28942, no WebKit, foi atribuída a Milad Nasr e Nicholas Carlini com o apoio do modelo Claude, da Anthropic. Indica que a inteligência artificial generativa está a ser usada na deteção de falhas de segurança, acelerando a investigação tanto para defensores como, potencialmente, para atacantes.
Pontos principais
- O iOS 26.5 corrige mais de 50 vulnerabilidades, com falhas críticas no kernel, App Intents, WebKit, Wi-Fi e mDNSResponder
- A CVE-2026-28942, no WebKit, foi descoberta com o apoio do modelo de IA Claude, da Anthropic, numa presença incomum da IA generativa na investigação de segurança
- Os patches estendem-se até ao iOS 15.8.8, cobrindo dispositivos lançados em 2015, numa prática invulgar no setor
- A Apple mantém um ciclo de correções abrangente em 2026, com o zero-day CVE-2026-20700 corrigido em fevereiro e o mecanismo Background Security Improvements introduzido em março
- Foram lançadas atualizações simultâneas para iPadOS, macOS Sequoia, macOS Sonoma, watchOS, tvOS e visionOS
Outros artigos interessantes:
