Apple va llançar l’11 de maig de 2026 iOS 26.5 i iPadOS 26.5, una actualització que tanca més de 90 errors de seguretat repartits per tot el sistema: Kernel, WebKit, ImageIO, IOKit, Networking i uns quants components més. Entre tots ells n’hi ha un que convé mirar amb calma, CVE-2026-28951, una escalada de privilegis al kernel mateix del dispositiu.
Què és CVE-2026-28951
Segons l’avís d’Apple, és un problema d’autorització al kernel que es va resoldre amb una millor gestió d’estat. A la pràctica això vol dir que una aplicació ja instal·lada a l’iPhone o l’iPad podia, en determinades condicions, saltar-se les comprovacions de permisos del sistema i obtenir privilegis de root. L’error el va reportar l’investigador Csaba Fitzl (@theevilbit), conegut per la seva feina en seguretat de plataformes Apple.
El kernel és la capa amb més privilegis del sistema. Quan una app aconsegueix executar-se en aquest nivell, deixa d’estar confinada pel sandbox que normalment separa cada aplicació de la resta del dispositiu, i passa a tenir accés a memòria, fitxers i components que iOS té vedats a una app corrent.
A qui afecta i quina gravetat té
L’error afecta iPhone i iPad amb versions d’iOS/iPadOS anteriors a la 26.5. Apple el classifica amb impacte alt: una app maliciosa que arribés al dispositiu podria fer-la servir per escapar del seu contenidor i prendre el control a nivell de kernel. El requisit és que l’atacant ja tingui codi executant-se a l’equip, sigui a través d’una app aparentment legítima o encadenant aquest error amb una vulnerabilitat prèvia.
Un detall que tranquil·litza: Apple no va informar d’explotació activa en el moment de la publicació. No estem davant d’un zero-day que s’estigués fent servir en atacs reals, sinó d’un error descobert i reportat de manera responsable i pegat abans que aparegués cap abús conegut.
Com protegir-se
La resposta és directa, actualitza a iOS 26.5 o iPadOS 26.5. Ho pots fer des de Configuració > General > Actualització de programari. Si tens activades les actualitzacions automàtiques, és probable que el dispositiu ja estigui al dia; val la pena comprovar-ho igualment, perquè aquest mateix lot tapa altres forats de pes al kernel, com una fuita de memòria (CVE-2026-43654), un desbordament de memòria intermèdia (CVE-2026-28897) i una escriptura a memòria de kernel (CVE-2026-28972), a més d’un bon grapat d’errors a WebKit que es disparen en carregar contingut web.
Per a equips gestionats per una empresa, el més assenyat és desplegar l’actualització mitjançant el sistema MDM tan bon punt s’hagi validat, sense deixar passar setmanes. Les escalades a root del kernel són just la mena de peça que els atacants encadenen amb altres errors per construir cadenes d’explotació completes, així que tancar la finestra com més aviat millor marca la diferència.
Font
- Apple Support — About the security content of iOS 26.5 and iPadOS 26.5: https://support.apple.com/en-us/127110
- NVD — CVE-2026-28951: https://nvd.nist.gov/vuln/detail/CVE-2026-28951