Apple обновила iOS, macOS и Safari, закрыв 37 уязвимостей, включая критические в WebKit

Apple

Apple выпустила внеочередные обновления для мобильных и настольных платформ, закрывающие 37 уязвимостей сразу в iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 и браузере Safari 26.5.2. Удалённый злоумышленник мог бы эксплуатировать некоторые из них, чтобы вызвать отказ в обслуживании, получить доступ к конфиденциальным данным, изменить их или обойти механизмы безопасности. Большая часть проблем сосредоточена в компонентах WebKit, WebRTC и ядре операционной системы.

Детали уязвимостей

Наиболее опасные уязвимости затрагивают ядро macOS и iOS. Три из них (CVE-2026-39868, CVE-2026-43724 и CVE-2026-43722) позволяют приложению вызвать аварийное завершение системы, записать данные в память ядра или раскрыть её содержимое. Исследователи из Positive Technologies, Baidu Security и STAR Labs SG, а также независимый специалист Хёнву Ким сообщили о проблемах, связанных с некорректной проверкой ввода. В случае эксплуатации такие ошибки дают возможность выполнить произвольный код с максимальными привилегиями, что для пользователя означает полную компрометацию устройства.

Кроме того, в компоненте IOGPUFamily, отвечающем за работу графического процессора, обнаружена уязвимость CVE-2026-43743 - состояние гонки, приводящее к неожиданному завершению системы. Её нашли специалисты под псевдонимами Lyutoon и Dun.

Основной объём исправлений пришёлся на WebKit - движок браузера Safari, используемый также во многих сторонних приложениях. Десятки уязвимостей типа use-after-free, выхода за границы буфера, путаницы типов и проблем с проверкой происхождения могут привести к утечке памяти процесса, повреждению данных или аварийному завершению Safari. Некоторые из них (CVE-2026-43700, CVE-2026-43735) позволяют вредоносному сайту извлекать данные из другого источника - перехватывать информацию, к которой у него не должно быть доступа. Другие (CVE-2026-43725, CVE-2026-43701) дают возможность обрабатывать ограниченное веб-содержимое за пределами изолированной среды ("песочницы").

Отдельно отмечена проблема в WebKit Storage (CVE-2026-43721): вредоносный сайт может незаметно перехватывать содержимое буфера обмена - например, пароли или номера банковских карт, которые пользователь скопировал. Также исправлена уязвимость в WebRTC (CVE-2026-28979), приводящая к переполнению стека при обработке специально созданного веб-контента.

В обновление вошли патчи, которые ранее уже были протестированы в бета-версиях iOS 26.6 и iPadOS 26.6. Таким образом, Apple ускорила выпуск исправлений, не дожидаясь выхода основной версии.

Компания традиционно не раскрывает подробности эксплуатации до того, как проведёт расследование и выпустит патчи. В бюллетенях безопасности Apple лишь указывает, что для защиты клиентов информация об уязвимостях не публикуется до выхода обновлений.

Пользователям рекомендуется как можно скорее установить обновления iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 и Safari 26.5.2. Устройства, на которых включено автоматическое обновление, получат патчи в фоновом режиме. Для владельцев iPhone 11 и новее, а также соответствующих версий iPad (начиная с Pro 12.9 дюймов третьего поколения) обновление доступно напрямую. Пользователям macOS Sonoma и Sequoia достаточно установить Safari 26.5.2.

Ситуация в очередной раз демонстрирует, что веб-движки остаются самой атакуемой поверхностью современных мобильных и десктопных ОС. Крупные массивы уязвимостей в WebKit выходят регулярно, и Apple, по всей видимости, решила сократить цикл выпуска исправлений, внедряя патчи из следующих версий в текущие.

Ссылки

Комментарии: 0