Компания Apple выпустила внеплановые обновления мобильных операционных систем iOS 26.5.2 и iPadOS 26.5.2. В состав патчей вошли исправления для 36 уязвимостей, затрагивающих ядро системы, браузерный движок WebKit, библиотеку libxslt, компоненты WebRTC и расширения Safari. Две из закрытых проблем получили оценку критичности 8,8 балла по шкале CVSS, что позволяет отнести их к категории опасных. По данным Apple, часть исправлений ранее уже была включена в бета-версии iOS 26.6 и iPadOS 26.6, но компания решила выпустить их досрочно для всех пользователей стабильной ветки.
Детали уязвимостей
Наибольшее количество уязвимостей - более 20 - было устранено в компоненте WebKit, отвечающем за обработку веб-контента в Safari и сторонних браузерах на iOS. Среди них преобладают проблемы работы с памятью: use-after-free (использование после освобождения), out-of-bounds access (выход за границы буфера), type confusion (путаница типов) и double free (двойное освобождение). В случае эксплуатации злоумышленник мог бы добиться неожиданного завершения работы Safari, утечки содержимого памяти процесса или даже выполнения произвольного кода с привилегиями браузера. Некоторые WebKit-уязвимости, например CVE-2026-43705 с рейтингом 8,8, позволяли вредоносному сайту обрабатывать ограниченный веб-контент за пределами изолированной среды (sandbox). Другая критическая проблема CVE-2026-43715 также связана с use-after-free и могла приводить к повреждению памяти.
Отдельного внимания заслуживают уязвимости в ядре операционной системы (Kernel). Исследователи обнаружили три проблемы, способные привести к неожиданному завершению работы устройства, повреждению или утечке конфиденциальных данных ядра. Одна из них (CVE-2026-39868) позволяла приложению вызывать сбой системы или повреждать память ядра из-за недостаточной проверки входных данных. Другая (CVE-2026-43724), найденная специалистом Хёнву Кимом, давала возможность произвольной записи в память ядра. Третья (CVE-2026-43722) - утечка состояния ядра, что могло помочь злоумышленнику при дальнейшей атаке.
В компоненте WebRTC, отвечающем за передачу голоса и видео в браузере, были исправлены две уязвимости - stack overflow (переполнение стека) и out-of-bounds access. Проблема CVE-2026-28979 с рейтингом 6,5 могла привести к краху Safari при обработке специально сформированного веб-контента. Ещё три уязвимости закрыты в библиотеке libxslt (обработка XSL-преобразований). Они также допускали неожиданное завершение процесса при загрузке вредоносного содержимого.
Значительная часть уязвимостей в WebKit касается межсайтового взаимодействия и утечки пользовательских данных. CVE-2026-43700, обнаруженная Виталием Симоновичем и Кристианом Мойрером Ксавье, позволяла обрабатывающему вредоносный веб-контент сайту раскрывать конфиденциальную информацию пользователя. CVE-2026-43713, найденная Джоди Риттонгом, давала возможность вредоносному сайту незаметно красть данные между разными источниками (cross-origin data exfiltration). В некоторых случаях утечка касалась даже содержимого буфера обмена - CVE-2026-43721, исследованная Иданом Масасом, давала злоумышленнику возможность "бесшумного" захвата данных из буфера обмена через веб-сайт.
Хотя Apple не предоставляет технических подробностей эксплуатации до завершения расследования, компания подтвердила, что все уязвимости были устранены путём улучшения проверки границ, ввода, управления памятью и контроля состояния. В списке благодарностей фигурируют как независимые исследователи, так и сотрудники компаний Positive Technologies, Baidu Security, Anthropic, OpenAI Codex Security, NVIDIA AI Red Team и другие.
Обновление доступно для всех устройств iPhone 11 и новее, iPad Pro 12,9 дюйма третьего поколения и новее, iPad Pro 11 дюйма первого поколения и новее, iPad Air третьего поколения и новее, iPad восьмого поколения и новее, а также iPad mini пятого поколения и новее. Пользователям рекомендуется установить iOS 26.5.2 или iPadOS 26.5.2 как можно скорее, поскольку некоторые из исправленных уязвимостей могут активно исследоваться или эксплуатироваться до выхода патча. Временных мер защиты Apple не предлагает; единственный способ устранить риски - обновление через меню "Настройки" → "Основные" → "Обновление ПО".
Тенденция на выпуск внеплановых сборок для мобильных платформ сохраняется: в 2026 году это уже второе крупное обновление, закрывающее более 30 уязвимостей. Производители всё чаще объединяют исправления из будущих бета-версий в стабильные релизы, чтобы быстрее реагировать на обнаруженные угрозы без ожидания запланированного цикла обновлений.
Ссылки
