САН-ФРАНЦИСКО, 19 січня 2026, 03:30 PST
- Apple заявила, що дві вразливості WebKit, виправлені в iOS 26.2, могли бути використані в “надзвичайно складних” цільових атаках
- Технічні та безпекові видання закликають користувачів, які відклали оновлення iOS 26, оновити та перезавантажити пристрої
- Експерти кажуть, що перезавантаження може порушити роботу деяких шкідливих програм, але основним вирішенням залишаються патчі
Дослідники з безпеки та споживчі техно-сайти знову закликають користувачів iPhone оновитися до iOS 26.2 і перезавантажити свої пристрої, попереджаючи, що Apple вже виправила баги WebKit, які використовувалися в цільових атаках. Новий заклик з’явився на тлі того, що багато користувачів не хочуть переходити на “Liquid Glass” дизайн iOS 26, через що старі версії ПЗ залишаються широко використовуваними. (Tom’s Guide)
У нотатках з безпеки для iOS 26.2 та iPadOS 26.2 Apple зазначила, що обробка “зловмисно створеного веб-контенту” може призвести до виконання довільного коду або пошкодження пам’яті. Apple повідомила, що їй відомо про випадки, коли ці проблеми “могли бути використані в надзвичайно складній атаці проти конкретних цільових осіб”, які використовували версії iOS до iOS 26. (Apple Support)
Пітер Арнтц, дослідник зловмисного ПЗ у Malwarebytes, написав, що Apple виправила дві “нульового дня” вразливості WebKit 12 грудня, а перезавантаження пристрою видаляє “шкідливе ПЗ, що перебуває в пам’яті”, якщо воно не отримало стійкості. “Оновлення вимагає перезавантаження, тож це вигідно в обох випадках,” написав Арнтц. (Malwarebytes)
На сторінці безпекових релізів Apple зазначено iOS 26.2 для iPhone 11 і новіших, а також iOS 18.7.3 для старіших моделей, включаючи iPhone XS та iPhone XR, обидва від 12 грудня 2025 року. Компанія випустила патчі того ж дня для macOS, Safari, watchOS, tvOS та visionOS. (Apple Support)
The Independent повідомляє, що баги WebKit пов’язані з найманим шпигунським ПЗ — комерційним програмним забезпеченням для стеження, яке зазвичай використовується у вузьконаправлених хакерських кампаніях, — і що iOS 26 додає захисти, такі як захист від відбитків браузера Safari та захист від ризикованих дротових підключень, а також антишахрайські функції. (The Independent)
WebKit — це браузерний рушій Apple, і його вразливості можуть впливати не лише на Safari, а й на інші додатки, що відображають веб-контент. “Нульовий день” — це вразливість, яку експлуатують до того, як більшість користувачів встановлять виправлення, залишаючи вікно для швидких дій зловмисників.
Агентство національної безпеки США раніше закликало користувачів регулярно перезавантажувати пристрої, зазначаючи у посібнику з мобільної безпеки: “Вимикайте та вмикайте пристрій щотижня.” Цей крок не є самостійним вирішенням, але може перервати атаки, які існують лише в пам’яті до перезавантаження.
Apple радить користувачам оновлюватися через Налаштування > Загальні > Оновлення ПЗ, і зазначає, що ввімкнення автоматичних оновлень — найпростіший спосіб отримувати виправлення. “Підтримка програмного забезпечення в актуальному стані — одна з найважливіших речей, які ви можете зробити,” заявили в Apple. (Apple Support)
Для людей, які вважають, що їх можуть виділити — активісти, журналісти, керівники — Apple також звертає увагу на Режим блокування, додатковий “екстремальний захист”, який обмежує деякі додатки, вебсайти та функції, щоб зменшити поверхню атаки. Apple зазначає, що “більшість людей ніколи не стають мішенню атак такого типу.” (Підтримка Apple)
Apple не уточнила, хто був мішенню, як працювали атаки або чи поширилися інструменти за межі описаних жертв. Перезапуск сам по собі не є заміною оновлення; шкідливе ПЗ, яке досягає стійкості, може повернутися, а користувачі, які відкладають оновлення, залишаються вразливими, коли з’являються нові баги.
Колонка Forbes від 18 січня також просувала пораду “вимкнути й увімкнути знову”, повторюючи заклики до перезавантаження, поки власники iPhone зважують, чи переходити на iOS 26. (Forbes)
