Apple выпустила срочные обновления безопасности для операционных систем iOS и iPadOS. Цель - устранение критической уязвимости типа «zero-day» (уязвимость нулевого дня), которую злоумышленники уже активно используют в целевых атаках. Компания охарактеризовала связанные с ней кибератаки как «чрезвычайно изощрённые». Обновление iOS 26.3 и iPadOS 26.3 уже доступно для загрузки.
Детали уязвимости
Опасная брешь, получившая идентификатор CVE-2026-20700, была обнаружена экспертами Threat Analysis Group (Группы анализа угроз) компании Google. Уязвимость существует в ключевом системном компоненте dyld (Dynamic Link Editor, Динамический редактор связей). Этот компонент отвечает за загрузку приложений и библиотек при их запуске. Проблема классифицируется как ошибка повреждения памяти. Проще говоря, система некорректно управляет использованием оперативной памяти, что создаёт лазейку для атаки.
Зная, как эксплуатировать эту лазейку, злоумышленник может добиться выполнения произвольного кода. Следовательно, он способен запустить на устройстве жертвы свои вредоносные команды. В результате возможна тайная установка шпионского ПО или кража конфиденциальных данных без ведома пользователя. Apple традиционно делится минимумом информации об активных атаках. Однако в данном случае компания подтвердила, что уязвимость могла использоваться против высокопоставленных целей.
Примечательно, что новая уязвимость связана с двумя ранее исправленными брешами: CVE-2025-14174 и CVE-2025-43529. По мнению исследователей безопасности, киберпреступники объединяют эти уязвимости в цепочку. Сначала они используют одну уязвимость для проникновения через браузер. Затем задействуют новую ошибку в dyld для получения полного контроля над устройством. Такой подход значительно повышает опасность и эффективность атак.
Под угрозой оказывается широкий спектр устройств Apple. В группе риска находятся владельцы iPhone 11 и более новых моделей. Список уязвимых iPad включает iPad Pro всех моделей, начиная с 2018 года, iPad Air третьего поколения и новее, а также iPad mini пятого поколения и новее. Эксперты настоятельно рекомендуют немедленно установить обновление, поскольку атаки уже фиксируются в реальном мире.
Помимо критической уязвимости нулевого дня, обновление iOS 26.3 исправляет несколько других опасных ошибок. В их числе - уязвимости в компонентах Bluetooth и Wi-Fi. Их эксплуатация могла позволить злоумышленнику, находящемуся поблизости, вызвать сбой в работе телефона или перехватить сетевой трафик. Также закрыты бреши в приложениях «Фото» и «Контакты». Эти недостатки теоретически позволяли получить доступ к конфиденциальной информации или фотографиям с заблокированного устройства.
Кроме того, обновление содержит исправления для ядра операционной системы. Они предотвращают возможность получения вредоносными приложениями прав суперпользователя. Такие права эквивалентны административным привилегиям и дают почти неограниченный контроль над системой. Установка патча является важнейшей мерой для поддержания целостности устройства.
Для установки обновления безопасности необходимо зайти в «Настройки», затем выбрать «Основные» и «Обновление ПО». После этого доступна загрузка и установка iOS 26.3 или iPadOS 26.3. Поскольку атаки уже носят активный характер, откладывать обновление крайне рискованно. Своевременная установка патчей остаётся самым эффективным способом защиты от подобных целевых угроз.
В целом, инцидент вновь подчёркивает важность оперативного применения обновлений безопасности. Это особенно актуально для пользователей, которые могут попасть в поле зрения продвинутых угрозовых группировок. Регулярное обновление программного обеспечения является базовым, но критически важным элементом кибергигиены в современной цифровой среде.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20700
- https://support.apple.com/en-us/126346
- https://support.apple.com/en-us/126348
- https://support.apple.com/en-us/126352
- https://support.apple.com/en-us/126353
- https://support.apple.com/en-us/126351
