Поделиться
В iPhone, iPad и Mac найдена «изощренная» уязвимость
Уязвимость CVE-2026-20700 эксплуатировалась в очень ограниченном диапазоне, однако Apple сочла её достаточно важной для выпуска внепланового обновления
Вне шкалы
Apple выпустила внеплановые обновления для iOS, iPadOS, macOS Tahoe, tvOS, watchOS и visionOS, предназначенное для устранения эксплуатируемой уязвимости.
«Баг» CVE-2026-20700 использовался в атаках, которые Apple описывает как «особенно изошрённые». При этом значения по шкале CVSS этой уязвимости пока не присвоено.
Сама по себе ошибка обозначена как проблема нарушения целостности памяти в dyld, редакторе динамических ссылок Apple. Успешная эксплуатация позволяет потенциальному злоумышленнику, запускать произвольный код в системе - при условии, что у него в принципе есть полномочия на запись в память каких-либо данных.
Уязвимость обнаружили эксперты Google Threat Analysis Group. При каких обстоятельствах это произошло, неизвестно.
«Из поступившего сообщения Apple стало известно о том, что уязвимость могла использоваться в особенно изощрённой атаке против отдельно взятых лиц, использовавших версии iOS до 26», - говорится в публикации вендора. - «Индексы CVE-2025-14174 и CVE-2025-43529 также были ответом на это сообщение».
Как отмечает издание The Hacker News, уязвимости, фигурирующие под двумя последними индексами, были исправлены ещё в декабре. Одну из них - CVE-2025-14174 (ошибка записи за пределами выделенной области памяти в компоненте ANGLE Metal, 8,8 балла по шкале CVSS) - также выявили эксперты Google.
CVE-2025-43529 (8,8 по шкале CVSS), - это уязвимость использования области памяти после её освобождения в WebKit, которая также может использоваться для запуска вредоносного кода при обработке сетевого контента.
«Те немногочисленные подробности, которые сейчас опубликованы, заставляют предположить, что «особенно изощрённая атака» осуществлялась хорошо мотивированными профессионалами, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Скорее всего, речь идёт об атаках при поддержке какого-либо национального государства. Отсылки к более ранним уязвимостям в публикации Apple могут означать, что CVE-2026-20700 применялась в комбинации с другими «багами». Сценарий - если не стандартный, то, по крайней мере, типичный».
Ковровые обновления
Уязвимость CVE-2026-20700 устраняется во всех вышеперечисленных операционных системах Apple версией с индексом 26.3. Речь идёт не только о смартфонах, планшетах и персональных компьютерах, но и Apple TV, Apple Watch и Vision Pro последних версий.
Сверх того, выпущен ряд обновлений для других, в том числе более старых продуктов: iOS 18.7.5 и iPadOS 18.7.5, macOS Sequoia 15.7.4 и macOS Sonoma 14.8.4. Обновление 26.3 затрагивает также браузер Safari.
Поделиться
Короткая ссылка
