Apple heeft maandag beveiligingsupdates uitgebracht voor iOS, macOS en de Safari-webbrowser om meer dan drie dozijn fouten te verhelpen, waaronder vier kwetsbaarheden in WebKit die werden ontdekt met behulp van kunstmatige intelligentie (AI)-tools zoals Anthropic Claude en OpenAI Codex Security.
De WebKit-kwetsbaarheden worden hieronder vermeld:
- CVE-2026-43707 – Een probleem met geheugenbeschadiging dat kan resulteren in een onverwachte procescrash bij het verwerken van kwaadwillig vervaardigde webinhoud. Het probleem is verholpen door een verbeterde verwerking van het geheugen.
- CVE-2026-43716 – Een niet-gespecificeerd probleem dat kan resulteren in een onverwachte Safari-crash bij het verwerken van kwaadwillig vervaardigde webinhoud. Het probleem is verholpen door een verbeterde verwerking van het geheugen.
- CVE-2026-43745 – Een schrijfprobleem buiten het bereik dat kan resulteren in een onverwachte Safari-crash bij het verwerken van kwaadwillig vervaardigde webinhoud. Het probleem is verholpen door een verbeterde invoervalidatie.
- CVE-2026-43715 – Een ‘use-after-free’-probleem dat kan leiden tot geheugenbeschadiging bij het verwerken van kwaadwillig vervaardigde webinhoud. Het probleem is verholpen door een verbeterd geheugenbeheer.
De eerste drie beveiligingsfouten zijn door Apple toegeschreven aan OpenAI Codex Security, terwijl antropische onderzoekers Milad Nasr en Nicholas Carlini, samen met Claude, zijn erkend voor CVE-2026-43715.
De vier kwetsbaarheden maken deel uit van bijna dertig kwetsbaarheden die zijn gepatcht in WebKit, een open-source webbrowser-engine ontwikkeld door Apple. Anderen omvatten een ‘use-after-free’-probleem in WebKit Canvas (CVE-2026-43720) en een kwetsbaarheid die door een kwaadwillende website kan worden uitgebuit om beperkte webinhoud buiten de sandbox te verwerken (CVE-2026-43725).
Apple heeft ook drie bugs verholpen die door een kwaadaardige app kunnen worden uitgebuit om de gevoelige kernelstatus te lekken (CVE-2026-43722), onverwachte systeembeëindiging te veroorzaken of kernelgeheugen te schrijven (CVE-2026-43724), of het kernelgeheugen te beschadigen (CVE-2026-39868). Beveiligingsonderzoeker Hyunwoo Kim, die Dirty Frag ontdekte, wordt gecrediteerd voor het ontdekken en rapporteren van CVE-2026-43724 en CVE-2026-43722.
De updates zijn beschikbaar voor iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 en Safari 26.5.2. Van geen van de gepatchte kwetsbaarheden is bekend dat deze actief in het wild worden uitgebuit.
In een verklaring gedeeld met Reuters zei Apple dat het de beveiligingsupdates veel eerder dan voorheen doorvoert als reactie op de zorgen dat AI-tools de ontwikkeling van exploits zouden kunnen versnellen en zouden kunnen fungeren als een katalysator voor cyberoorlogvoering, waardoor de tijd tussen ontdekking en bewapening tot uren zou worden verkleind.
Het bedrijf zei dat het “zich aanpaste aan de realiteit dat het, gezien het vermogen van kunstmatige intelligentie om de ontwikkeling van kwaadaardige hacktools te versnellen, de tijd moest verkorten tussen het moment waarop updates voor het eerst openbaar werden gemaakt en het moment waarop ze in handen van klanten kwamen”, meldde Reuters.
