סן פרנסיסקו, 16 בינואר 2026, 01:07 PST
- אזהרות חדשות קוראות לבעלי אייפון לעדכן ל-iOS 26.2 (או iOS 18.7.3 בדגמים ישנים יותר) ולאתחל את המכשירים
- אפל מסרה כי הפגיעויות ב-WebKit נוצלו ב"מתקפות ממוקדות ומתוחכמות במיוחד"
- אימוץ איטי של iOS 26 השאיר מכשירים רבים עם תוכנה ישנה, לפי נתוני StatCounter שצוטטו על ידי Tom’s Guide
אזהרות חדשות דוחפות בעלי אייפון לעדכן את המכשירים ולאתחל, לאחר שדיווחים הדגישו כי תיקוני האבטחה למתקפות ממוקדות קשורים לגרסאות iOS האחרונות של אפל.
למה זה חשוב עכשיו: אפל קישרה שתי פגיעויות ב-WebKit — מנוע הדפדפן שמאחורי Safari וכל דפדפני האייפון — למתקפות שהיא מתארת כמתוחכמות מאוד. מתקפה מוצלחת יכולה להתחיל בתוכן אינטרנט זדוני, ולהפוך גלישה שגרתית לנקודת כניסה פוטנציאלית.
הקריאה לעדכון מגיעה ברגע בעייתי עבור השקת התוכנה של אפל. תיקוני האבטחה למכשירים שנפגעו כוללים את iOS 26.2 לאייפונים חדשים יותר ו-iOS 18.7.3 לדגמים ישנים, ומשאירים משתמשים שמאחרים לעדכן עם פחות הגנה ממה שהם חושבים שיש להם.
בהערות ה אבטחה שלה, אפל מסרה כי היא "מודעת לדיווח" שהבעיות ב-WebKit "עשויות היו להיות מנוצלות" ב"מתקפה מתוחכמת במיוחד" שכוונה ל"אנשים מסוימים וממוקדים" שהשתמשו בגרסאות iOS לפני iOS 26. אפל נתנה קרדיט ל-Google’s Threat Analysis Group על אחד הדיווחים וציינה שהשני זוהה יחד עם אפל וגוגל.
הבאגים מסומנים כ-CVE-2025-14174 ו-CVE-2025-43529, לפי הודעות אפל. אפל מסרה כי התיקונים טיפלו בבעיה של use-after-free ובבעיה של פגיעות בזיכרון — שתיהן תקלות תוכנה שיכולות לאפשר לתוקף להשחית זיכרון ואולי להריץ קוד על ידי הובלת הדפדפן למצב שגוי.
הסיכון אינו מוגבל לאפליקציה אחת. WebKit מהווה את הבסיס ל-Safari, ובגלל כללי הדפדפנים של iOS, גם לדפדפנים כמו Chrome, Firefox ואחרים באייפון, גם אם הם נושאים שמות מותג שונים.
נתונים מצביעים על כך שמשתמשים רבים עדיין לא עברו לגרסה החדשה. נתוני StatCounter שצוטטו על ידי Tom’s Guide מצביעים על כך שאימוץ iOS 26 עומד על 15.4% מהאייפונים בינואר 2026, כך לפי האתר, הרבה מאחורי קצב העדכונים של גרסאות קודמות.
חלק מההיסוס נובע מהממשק, לא מהאבטחה. BGR דיווח השבוע ש-iOS 26.2 מוסיף אפשרויות חדשות שנועדו לשפר את הקריאות בעיצוב " Liquid Glass" של אפל, כולל אפשרויות חדשות ל-"Glass" ו-"Solid" לשעון מסך הנעילה ומתגים להפחתת שקיפות.
חברות אבטחה אומרות ששלב האתחול אינו קוסמטי. החוקר של Malwarebytes, פיטר ארנץ, כתב ב-13 בינואר שאתחול מחדש יכול לסלק "נוזקות השוכנות בזיכרון" — קוד שרץ בזיכרון הפעיל של המכשיר — "אלא אם כן היא השיגה התמדה בדרך כלשהי", והוא טען ש"אני לא יעד" זו "לא אסטרטגיית בטיחות ישימה".אפל הזהירה בנפרד משתמשים להיזהר מהונאות שרוכבות על כותרות אבטחה. "התראות איום של אפל לעולם לא יבקשו מכם ללחוץ על קישורים", אומרת החברה, וממליצה למשתמשים לאמת התראות על ידי כניסה לחשבון האפל שלהם במקום לעקוב אחרי הנחיות בהודעות.
ובכל זאת, יש גבולות למה שמחזור של אתחול ועדכון יכול לעשות. אפל לא חשפה מי היה היעד או כיצד פעלו ההתקפות, ואתחול לא יעזור אם התוקף השיג התמדה או אם קיימות פרצות נוספות שלא תוקנו. גם הניסוח של החברה מצביע על פעולות ממוקדות — לא התפרצות רחבת היקף בקרב הצרכנים — מה שאומר שהאי-ודאות הגדולה ביותר היא האם הכלים יתפשטו מעבר לקורבנות הראשונים.
