L'11 maggio Apple ha rilasciato le versioni pubbliche finali di iOS 26.5, iPadOS 26.5, macOS Tahoe 26.5, Xcode 26.5, tvOS 26.5, watchOS 26.5 e visionOS 26.5. Il release candidate era disponibile dal 4 maggio e non ha subito modifiche sostanziali prima del rilascio. Il contenuto di sicurezza, invece, non era stato comunicato in anticipo: iOS 26.5 chiude più di 90 vulnerabilità.
Il contenuto di sicurezza
Il numero di CVE in un singolo aggiornamento punto non è di per sé indicativo della gravità: conta il tipo di vulnerabilità e la loro exploitabilità. In questo caso, alcune delle vulnerabilità corrette sono problemi seri a livello di sistema.
CVE-2026-28951 (Kernel): un problema di autorizzazione permette a un’app di ottenere privilegi root. È la vulnerabilità più critica del pacchetto, classificabile come privilege escalation completa.
CVE-2026-28995 (App Intents): un difetto logico nel componente App Intents consente a un’app malevola di uscire dal sandbox. Il vettore è un’app installata sul dispositivo che sfrutta il framework per ottenere accesso a risorse fuori dal proprio perimetro.
CVE-2026-28972 (Kernel): un’out-of-bounds write può causare la terminazione inattesa del sistema o la scrittura in memoria kernel.
CVE-2026-43655 (IOSurfaceAccelerator): un’out-of-bounds read consente la divulgazione di contenuto della memoria kernel. Rilevante per app che usano Metal o accedono a IOSurface nel rendering.
WebKit (14+ CVE): tre vulnerabilità use-after-free (CVE-2026-28947, CVE-2026-28883, CVE-2026-28942) possono causare crash del processo browser o divulgazione di informazioni tramite contenuto web malevolo. Le vulnerabilità WebKit sono quelle più facilmente raggiungibili da remoto senza interazione fisica: basta che l’utente visiti una pagina controllata dall’attaccante.
Il totale — 90+ CVE — copre anche componenti come mDNSResponder, ImageIO, APFS, Siri e App Intents. È uno dei pacchetti di sicurezza più ampi di un singolo aggiornamento punto nel ciclo iOS 26.
Xcode 26.5: il nuovo baseline per le submission
Con il rilascio pubblico, Xcode 26.5 diventa la versione corrente per lo sviluppo su iOS 26. Dal 28 aprile le submission su App Store Connect richiedono già il build con iOS 26 SDK o successivi — quel requisito era stato introdotto con la deadline di aprile. Xcode 26.5 è la versione di riferimento per chi aggiorna la propria toolchain di CI prima del ciclo WWDC26.
Chi usa GitHub Actions o pipeline CI con Xcode gestito dal runner dovrebbe verificare che l’immagine del runner abbia ricevuto Xcode 26.5. Le macchine macOS su GitHub Actions tipicamente includono la versione Xcode corrente, ma la disponibilità varia per i runner self-hosted e i fornitori CI di terze parti.
RCS E2EE: in produzione, ma non ancora dappertutto
La crittografia end-to-end per RCS, che avevamo descritto in dettaglio quando era stata confermata con l’RC, è ora attiva in produzione. Il rollout dipende dall’adozione da parte dei carrier: l’opzione appare nelle impostazioni di Messaggi solo quando sia iPhone che il dispositivo Android del destinatario, e i rispettivi carrier, supportano RCS Universal Profile 3.0 con MLS. In Italia, la disponibilità dei carrier è ancora variabile.
Dispositivi coperti
iOS 26.5 e iPadOS 26.5 richiedono iPhone 11 o successivi per iOS e iPad Pro 12.9" terza generazione o successivi, iPad Pro 11" prima generazione o successivi, iPad Air terza generazione o successivi, iPad ottava generazione o successivi, iPad mini quinta generazione o successivi per iPadOS.
macOS Tahoe 26.5 è disponibile per i Mac compatibili con macOS Tahoe 26. I modelli precedenti ricevono invece macOS Sequoia 15.7.7 o macOS Sonoma 14.8.7.
Cosa fare
Per gli sviluppatori il passaggio urgente è uno solo: aggiornare i dispositivi di test e verificare che le pipeline CI puntino a Xcode 26.5. Il contenuto di sicurezza non introduce breaking change né modifiche comportamentali per le app.
Per gli utenti finali, l’aggiornamento è consigliato in via prioritaria per la presenza di CVE kernel e WebKit. Non ci sono segnalazioni di exploit attivi noti per questi problemi al momento del rilascio, ma le vulnerabilità WebKit sono storicamente le più rapide da sfruttare una volta reso pubblico il dettaglio tecnico.
Il prossimo punto da seguire: i changelog delle beta di iOS 26.1, che sono in corso e contengono le prime indicazioni su cosa cambierà nel ciclo post-WWDC26. Il rilascio pubblico di iOS 26.1 avverrà presumibilmente dopo il keynote del 8 giugno.
