29 декабря 2025 14:49:41

Apple закрыла 2 zero-day в iOS 26.2 — установите обновление сейчас

Apple экстренно закрыла две критические уязвимости WebKit в iOS 26.2: обновитесь

Apple выпустила экстренное обновление безопасности iOS 26.2, закрыв сразу две уязвимости, уже применявшиеся в реальных целевых атаках; об этом пишет портал pepelac.news. По словам компании, это крайне сложные взломы, нацеленные на ограниченный круг пользователей и связанные со шпионским ПО, а не с массовой кражей данных или денег. Дыры обнаружены в WebKit — движке Safari и всех сторонних браузеров на iPhone и iPad, поэтому для атаки порой хватало открыть вредоносный сайт.

Уязвимости получили идентификаторы CVE-2025-43529 и CVE-2025-14174 и использовались в одной цепочке атак. Первая позволяла выполнять произвольный код из‑за некорректной обработки памяти в WebKit. Вторую выявили совместно со специалистами Google Threat Analysis Group; она также касалась механизма работы браузерного движка. Apple закрыла проблемы улучшенным управлением памятью и дополнительными проверками, а детали намеренно не раскрывает, чтобы не подсказывать злоумышленникам.

Патчи выпущены для всей экосистемы: iOS и iPadOS, macOS, watchOS, tvOS, visionOS и самого Safari. Поскольку на iOS все браузеры обязаны использовать WebKit, уязвимости затрагивали даже Chrome и другие альтернативы на iPhone.

Компания настаивает на немедленной установке обновлений: zero-day прежде всего бьют по устройствам с устаревшим ПО. Для потенциальных целей целевых атак напоминают о режиме Lockdown Mode и советуют следить за нетипичным поведением — перегревом, стремительным разрядом батареи или сбоями в Safari. Логичным выглядит и вывод: тянуть с установкой не стоит, а тем, кто ощущает повышенные риски, разумно задействовать усиленные меры защиты.