SAN FRANCISCO, 16. januar 2026, 01:07 PST
- Nova opozorila pozivajo lastnike iPhonov, naj posodobijo na iOS 26.2 (ali iOS 18.7.3 na starejših modelih) in ponovno zaženejo naprave
- Apple je sporočil, da so bile osnovne ranljivosti WebKit uporabljene v »izjemno sofisticiranih« ciljanih napadih
- Počasno sprejemanje iOS 26 je po podatkih StatCounterja, na katere se sklicuje Tom’s Guide, pustilo veliko naprav na starejši programski opremi
Nova opozorila spodbujajo lastnike iPhonov, naj posodobijo svoje naprave in jih ponovno zaženejo, potem ko so poročila izpostavila, da so varnostni popravki za ciljanje napadov povezani z najnovejšimi izdajami iOS podjetja Apple.
Zakaj je to zdaj pomembno: Apple je povezal dve ranljivosti v WebKit — spletnem pogonu za Safari in vse brskalnike na iPhonu — z napadi, ki jih opisuje kot zelo sofisticirane. Uspešen napad se lahko začne z zlonamerno oblikovano spletno vsebino, kar rutinsko brskanje spremeni v potencialno vstopno točko.
Poziv prihaja v neurejenem trenutku za Applovo uvajanje programske opreme. Varnostni popravki za prizadete naprave zajemajo iOS 26.2 za novejše iPhone in iOS 18.7.3 za starejše modele, kar uporabnike, ki odlašajo s posodobitvami, pušča z manj zaščite, kot mislijo, da jo imajo.
V svojih varnostnih opombah je Apple zapisal, da je »seznanjen s poročilom«, da so bile težave z WebKit »morda izkoriščene« v »izjemno sofisticiranem napadu«, usmerjenem na »določene ciljne posameznike«, ki uporabljajo različice iOS pred iOS 26. Apple je za eno od poročil zasluge pripisal Googlovemu Threat Analysis Group in dodal, da je bila druga ugotovljena skupaj z Applom in Googlom.
Napake so zabeležene kot CVE-2025-14174 in CVE-2025-43529, kažejo Applova obvestila. Apple je dejal, da so popravki odpravili težavo z uporabo po sprostitvi (use-after-free) in težavo s poškodbo pomnilnika — obe programski napaki, ki lahko napadalcu omogočita poškodbo pomnilnika in potencialno izvajanje kode s preusmeritvijo brskalnika v napačno stanje.
Tveganje ni omejeno na eno aplikacijo. WebKit je osnova Safarija in zaradi Applovih pravil za brskalnike na iOS tudi podlaga za Chrome, Firefox in druge brskalnike na iPhonu, tudi če imajo drugačno blagovno znamko.
Podatki kažejo, da veliko uporabnikov še vedno ni nadgradilo. StatCounterjevi podatki, na katere se sklicuje Tom’s Guide, kažejo, da je bila stopnja sprejetja iOS 26 januarja 2026 pri 15,4 % iPhonov, je poročal portal, kar je precej zaostajalo za tempom prejšnjih nadgradenj iOS.
Del zadržanosti je povezan z vmesnikom, ne z varnostjo. BGR je ta teden poročal, da iOS 26.2 dodaja nove možnosti za izboljšanje berljivosti v Applovem » Liquid Glass« dizajnu, vključno z novima možnostma »Glass« in »Solid« za uro na zaklenjenem zaslonu ter preklopniki za zmanjšanje prosojnosti.
Varnostna podjetja pravijo, da korak ponovnega zagona ni le kozmetičen. Raziskovalec podjetja Malwarebytes, Pieter Arntz, je 13. januarja zapisal, da lahko ponovni zagon “izbriše zlonamerno programsko opremo, ki je prisotna v pomnilniku” — kodo, ki teče v delovnem pomnilniku naprave — “razen če si ni nekako zagotovila obstojnosti,” in poudaril, da “nisem tarča” “ni izvedljiva varnostna strategija.”
Apple je ločeno opozoril uporabnike, naj bodo pozorni na prevare, ki izkoriščajo varnostne novice. “Appleova varnostna obvestila vas nikoli ne bodo prosila, da kliknete na kakršne koli povezave,” pravi podjetje in svetuje uporabnikom, naj preverijo obvestila tako, da se prijavijo v svoj Apple račun, namesto da sledijo navodilom v sporočilih.
Kljub temu obstajajo omejitve, kaj lahko doseže cikel ponovnega zagona in posodobitve. Apple ni razkril, kdo je bil tarča ali kako so napadi potekali, in ponovni zagon ne bo pomagal, če je napadalec dosegel obstojnost ali če obstajajo druge neodpravljene ranljivosti. Tudi jezik podjetja nakazuje na ciljno usmerjene operacije — ne na množično, potrošniško širjenje — kar pomeni, da je največja neznanka, ali se orodja razširijo izven začetnih žrtev.
