СІДНЕЙ, 18 січня 2026, 21:27 AEDT
- Apple заявляє, що дві вразливості WebKit могли бути використані в «надзвичайно складних» цільових атаках на iOS версій до iOS 26
- Виправлення містяться в iOS 26.2 для новіших iPhone та iOS 18.7.3 для старіших моделей, згідно з переліком безпеки Apple
- За даними відстеження, впровадження iOS 26.2 виглядає нерівномірним, залишаючи багато пристроїв на старішому ПЗ
Apple закликає користувачів iPhone оновити та перезапустити свої пристрої після того, як компанія повідомила про виправлення двох вразливостей WebKit, які, за її словами, могли бути використані в «надзвичайно складній» атаці проти конкретних цільових осіб на iOS версій до iOS 26. (Apple Support)
Вразливості знаходяться у WebKit — рушії браузера, який забезпечує роботу Safari та обробляє більшість веб-контенту на iPhone. Одна з помилок (CVE-2025-43529) могла дозволити «довільне виконання коду» через спеціально створений шкідливий веб-контент — простими словами, зловмисник міг би запустити код на пристрої після завантаження користувачем ворожого веб-матеріалу. (NVD)
Це важливо зараз, оскільки значна частина користувачів iPhone, схоже, все ще використовує старіше ПЗ. За даними StatCounter за грудень, iOS 26.2 мала частку 1,97%, і компанія попередила, що iOS 26 неправильно відображалася як iOS 18.7 та 18.6 у Safari, що ускладнює ситуацію. (StatCounter Global Stats)
Apple випустила iOS 26.2 для iPhone 11 і новіших, а також iOS 18.7.3 для пристроїв, таких як iPhone XS, XS Max і XR, обидва 12 грудня 2025 року, згідно з переліком безпекових релізів. У цій же партії були оновлення для ширшої лінійки Apple, включаючи Safari 26.2 і новіші версії watchOS, tvOS і visionOS. (Apple Support)
Австралійське видання The New Daily звернуло увагу на заклик до перезапуску та оновлення за останню добу, описавши це як цільові злами та шпигунське ПЗ, і зазначило, що група аналізу загроз Google працювала разом з Apple над цим інцидентом. (The New Daily)
У рекомендаціях служби підтримки Apple зазначено, що користувачі можуть оновити пристрій по бездротовій мережі, перейшовши в Налаштування, далі Основні, потім Оновлення ПЗ, і натиснувши Завантажити та Встановити, якщо оновлення доступне. «Підтримка програмного забезпечення в актуальному стані — одна з найважливіших речей для безпеки вашого продукту Apple», — зазначили в Apple. (Apple Support)
Пітер Арнц, дослідник зловмисного ПЗ у Malwarebytes, написав, що перезапуск може бути практичним тимчасовим заходом, оскільки «після перезапуску пристрою будь-яке шкідливе ПЗ, що перебуває в пам’яті, видаляється» — якщо тільки воно не отримало стійкості. Він також застеріг від самозаспокоєння: «Я не ціль» — це не стратегія безпеки, написав він. (Malwarebytes)
Проте Apple не уточнила, кого саме було націлено або скільки пристроїв могли постраждати, і перезавантаження не є заміною для встановлення патчів. Якщо пристрій уже скомпрометовано і зловмисник має спосіб повернутися — або якщо інструмент виживає після перезавантаження — перезапуск дає лише час, але не закриває вразливість.
Для більшості користувачів висновок простий: встановіть останню версію iOS, доступну для вашої моделі, а потім перезавантажте пристрій. Веб-атаки не потребують встановлення додатків користувачем, а довга затримка між випуском патча і його встановленням — це саме той проміжок, коли цільові кампанії знаходять можливість для атаки.
