SAN FRANCISCO, 2026. január 19., 03:30 PST
- Az Apple szerint az iOS 26.2-ben javított két WebKit-hiba „rendkívül kifinomult” célzott támadásokban is felhasználhatták
- Technológiai és biztonsági oldalak sürgetik azokat a felhasználókat, akik halogatták az iOS 26 frissítését, hogy frissítsenek és indítsák újra készülékeiket
- A szakértők szerint az újraindítás megzavarhat bizonyos rosszindulatú programokat, de a javítások jelentik a fő megoldást
Biztonsági kutatók és fogyasztói tech oldalak ismét arra kérik az iPhone-felhasználókat, hogy frissítsenek iOS 26.2-re és indítsák újra készülékeiket, figyelmeztetve, hogy az Apple már javította a célzott támadásokban kihasznált WebKit-hibákat. Az újabb figyelmeztetés oka, hogy sok felhasználó ellenáll az iOS 26 „Liquid Glass” dizájnjának, ami miatt a régebbi szoftverek széles körben használatban maradtak. (Tom’s Guide)
Az iOS 26.2 és iPadOS 26.2 biztonsági jegyzeteiben az Apple azt írta, hogy „rosszindulatúan kialakított webtartalom” feldolgozása tetszőleges kód futtatásához vagy memória-sérüléshez vezethet. Az Apple közölte, hogy tudomásuk van olyan jelentésekről, melyek szerint a hibákat „rendkívül kifinomult támadásokban, konkrét célpontok ellen” használták ki az iOS 26 előtti verziókat futtató eszközökön. (Apple Support)
Pieter Arntz, a Malwarebytes rosszindulatú programokkal foglalkozó kutatója azt írta, hogy az Apple december 12-én javított két WebKit „zero-day” sebezhetőséget, és hogy az eszköz újraindítása eltávolítja a „memóriában lakó kártevőket”, hacsak azok nem szereztek tartós jelenlétet. „A frissítés újraindítást igényel, így ez mindenképp előnyös” – írta Arntz. (Malwarebytes)
Az Apple biztonsági frissítéseket felsoroló oldala szerint az iOS 26.2 elérhető iPhone 11 és újabb modellekhez, míg az iOS 18.7.3 a régebbi modellekhez, például az iPhone XS-hez és iPhone XR-hez, mindkettő 2025. december 12-i dátummal. A vállalat ugyanazon a napon adott ki javításokat macOS, Safari, watchOS, tvOS és visionOS rendszerekhez is. (Apple Support)
A The Independent szerint a WebKit-hibákat zsoldos kémprogramokhoz – jellemzően szűk körben célzott hackelési kampányokban használt kereskedelmi megfigyelő szoftverekhez – kötötték, és az iOS 26 olyan védelmeket vezet be, mint a Safari ujjlenyomat-védelme, a kockázatos vezetékes kapcsolatok elleni óvintézkedések, valamint csalás elleni funkciók. (The Independent)
A WebKit az Apple böngészőmotorja, és annak sebezhetőségei a Safarin túl más, webtartalmat megjelenítő alkalmazásokra is kihatnak. A „zero-day” olyan hiba, amelyet még azelőtt kihasználnak, hogy a legtöbb felhasználó telepítené a javítást, így a támadók gyorsan léphetnek.
Az amerikai Nemzetbiztonsági Ügynökség korábban már javasolta, hogy a felhasználók rendszeresen indítsák újra készülékeiket, mobilbiztonsági útmutatójában így fogalmazva: „Kapcsolja ki és be a készüléket hetente.” Ez az intézkedés önmagában nem jelent megoldást, de megszakíthatja azokat a támadásokat, amelyek csak a memóriában élnek, amíg az újraindítás el nem távolítja őket.
Az Apple azt tanácsolja, hogy a felhasználók a Beállítások > Általános > Szoftverfrissítés menüpontban frissítsenek, és szerintük az automatikus frissítések bekapcsolása a legegyszerűbb módja a javítások folyamatos elérésének. „A szoftver naprakészen tartása az egyik legfontosabb dolog, amit tehet” – közölte az Apple. (Apple Support)
Azok számára, akik úgy gondolják, hogy célponttá válhatnak – aktivisták, újságírók, vezetők –, az Apple a Lockdown Mode-ra is felhívja a figyelmet, amely egy opcionális „extrém védelem”, és bizonyos alkalmazásokat, weboldalakat és funkciókat korlátoz, hogy csökkentse a támadási felületet. Az Apple szerint „a legtöbb embert soha nem érik ilyen jellegű támadások”. (Apple Support)
Az Apple nem részletezte, hogy kiket céloztak meg, hogyan működtek a támadások, vagy hogy az eszközök elterjedtek-e a leírt áldozatokon túl. Az újraindítás önmagában nem helyettesíti a javításokat; a tartósan jelen lévő kártevő visszatérhet, és azok a felhasználók, akik késleltetik a frissítéseket, továbbra is ki vannak téve az új hibáknak.
A Forbes január 18-i cikke is hangsúlyozta a „kapcsold ki és be újra” üzenetet, visszhangozva az újraindításra vonatkozó felhívásokat, miközben az iPhone-tulajdonosok mérlegelik, hogy áttérjenek-e az iOS 26-ra. (Forbes)
