Morten Lyhne Petersen
Apple udsendte mandag iOS 26.5, der lukker mere end 50 sårbarheder i din iPhone.
Opdateringen ramte alle understøttede iPhones og iPads den 11. maj 2026, og den indeholder rettelser til alt fra kernen i styresystemet til den indbyggede browser. Selvom Apple ikke melder om nogen aktivt udnyttede huller, anbefaler både producenten og uafhængige sikkerhedsanalytikere, at du installerer den uden ophold.
iOS 26.5 og iPadOS 26.5 kan installeres på iPhone 11 og nyere samt en lang række iPad-modeller fra 2018 og frem, fremgår det af Apples sikkerhedsnote. Samtidig udsendte Apple parallelle opdateringer til ældre styresystemer helt tilbage til iOS 15, så også brugere af iPhone 6s og iPhone 7 får lukket en række kritiske huller.
Kernen, WebKit og billedfiler i fokus
De fleste af de rettede sårbarheder ligger i komponenter, som almindelige brugere aldrig ser, men som ondsindede programmer kan misbruge. Apples liste tæller blandt andet flere fejl i selve kernen, herunder en sårbarhed der kunne lade en app skaffe sig root-rettigheder, samt fejl i mDNSResponder, der ifølge dokumentationen kunne udnyttes til at korrumpere kernehukommelsen fra en fjernkilde.
WebKit, motoren bag Safari og enhver tredjepartsbrowser på iPhone, får ti separate rettelser. Flere af dem kunne i værste fald give adgang til følsomme data eller få browseren til at gå ned, når en bruger blot besøgte en præpareret hjemmeside. Hertil kommer en stribe fejl i ImageIO, hvor manipulerede billedfiler kunne udløse hukommelseskorruption.
Det tyske medie Heise noterer, at Apple som vanligt holder detaljer tilbage på omkring to dusin yderligere fejl. Den praksis bliver løbende kritiseret, fordi rettelserne dermed reelt udvider listen ud over de officielt offentliggjorte CVE-numre.
Ingen aktivt udnyttede huller, men hast alligevel
I modsætning til Apples nødopdateringer tidligere i foråret er der ingen meldinger om, at nogen af de nye sårbarheder bruges aktivt i angreb. Det er den gode nyhed. Den dårlige er, at Apples egen sikkerhedsnote i sig selv fungerer som en detaljeret køreplan for angribere, der vil finde sårbare enheder, som endnu ikke er opdateret.
Macrumors beskriver, at brugere, der udskyder installationen, reelt løber en større risiko efter offentliggørelsen end før, netop fordi hullernes natur nu er kendt. Mønstret er velkendt for sikkerhedsforskere: tiden mellem en patch og de første proof-of-concept-angreb kan måles i timer.
Sådan opdaterer du
Selve installationen tager typisk under 20 minutter på en moderne iPhone. Forløbet er beskrevet trin for trin på Apples supportside:
-
Sæt iPhone til opladning og forbind til wi-fi.
-
Åbn Indstillinger, vælg Generelt, og tryk Softwareopdatering.
-
Tryk Download og Installer, og indtast adgangskoden.
Det er en god ide at lave en sikkerhedskopi inden, enten via iCloud eller en computer. Hvis du ikke vil bekymre dig om fremtidige opdateringer, kan du under samme menu slå Automatiske Opdateringer til, så iPhonen henter og installerer nye versioner om natten, mens den lader op.
Apple udsendte samtidig macOS Tahoe 26.5, watchOS 26.5, tvOS 26.5 og visionOS 26.5 med tilsvarende sikkerhedsrettelser. Bruger du flere Apple-enheder, bør de alle opdateres samme dag, fordi flere af de rettede sårbarheder går igen på tværs af Apples styresystemer.
