Корпорация Apple выпустила обновление macOS Tahoe 26.5.2, закрывающее 37 уязвимостей, часть из которых позволяла злоумышленникам выполнять произвольный код, похищать конфиденциальные данные и обходить песочницу браузера Safari. Две проблемы получили максимальный уровень опасности по шкале CVSS v3 - 8,8 балла. Список исправлений опубликован на официальном портале техподдержки Apple.
Детали уязвимостей
Наибольшее количество проблем пришлось на движок WebKit, используемый браузером Safari. Среди них - критическая уязвимость CVE-2026-43705, основанная на механизме type confusion (путаница типов данных). При обработке специально сформированного веб-контента эта ошибка могла приводить к повреждению памяти и удалённому выполнению кода на устройстве жертвы. Другая критическая уязвимость - CVE-2026-43715 - также коренится в WebKit и представляет собой use-after-free (обращение к уже освобождённой области памяти). В обоих случаях для эксплуатации достаточно было заставить пользователя открыть вредоносную веб-страницу.
Часть багов в WebKit затрагивала межсайтовое взаимодействие. Например, уязвимость CVE-2026-43700 позволяла неавторизованному сайту получать доступ к конфиденциальным данным другого ресурса из-за некорректного контроля происхождения запроса (cross-origin issue). Уязвимость CVE-2026-43721, обнаруженная в механизме WebKit Storage, давала возможность вредоносному сайту незаметно перехватывать содержимое буфера обмена пользователя - эта атака не требует какого-либо взаимодействия с экранными подсказками браузера. Ещё одна проблема, CVE-2026-43725, допускала выполнение веб-кода за пределами изолированной среды (sandbox), что разрушало базовую модель безопасности Safari.
Отдельный блок исправлений коснулся ядра операционной системы (Kernel). Уязвимость CVE-2026-39868 могла приводить к аварийному завершению работы системы или повреждению данных в пространстве ядра. CVE-2026-43724 позволяла приложению неожиданно завершать работу системы или перезаписывать память ядра. Кроме того, была закрыта проблема CVE-2026-43722, через которую любое приложение могло "утекать" чувствительную информацию о состоянии ядра - например, адреса структур данных, используемые для атак ASLR (рандомизации адресного пространства).
Несколько уязвимостей обнаружено в компоненте WebRTC, отвечающем за аудио- и видеозвонки. Ошибка переполнения стека (stack overflow) CVE-2026-43718 позволяла крашить Safari при обработке вредоносного контента. Другая проблема в WebRTC, CVE-2026-28979 с рейтингом 6,5 балла, также вызывала неожиданное завершение процесса. Уязвимости в библиотеке libxslt, используемой для обработки XSLT-преобразований (CVE-2026-43703 и CVE-2026-43706), эксплуатировались через двойное освобождение памяти (double free), что вело к нестабильной работе процессов.
"В целях защиты наших клиентов Apple не раскрывает, не обсуждает и не подтверждает проблемы безопасности, пока не проведёт расследование и не выпустит исправления", - говорится в сопроводительной документации компании. Патч доступен для всех устройств под управлением macOS Tahoe, включая компьютеры с процессорами Apple Silicon и Intel.
Чтобы установить обновление, пользователям необходимо перейти в меню "Системные настройки" и выбрать пункт "Обновление ПО". Рекомендуется как можно скорее применить апдейт, особенно с учётом того, что многие из описанных уязвимостей могут эксплуатироваться удалённо через просмотр веб-страниц в Safari. Корпоративным администраторам также стоит обратить внимание на компонент Kernel: локальные приложения, получившие минимальные привилегии, способны были использовать эти баги для повышения своих прав. В текущем релизе Apple не анонсировала каких-либо временных обходных мер - единственным способом защиты остаётся полное обновление системы до версии 26.5.2.
Ссылки
