Apple выпустила iOS 26.2: закрыты две критические zero‑day в WebKit
Apple выпустила экстренное обновление безопасности iOS 26.2, которое закрывает две критические уязвимости, уже использовавшиеся в реальных целевых атаках. Компания подчёркивает, что это крайне сложные взломы со шпионским уклоном, а не массовые кражи данных. Об этом сообщает издание pepelac.news.
Обе проблемы найдены в движке WebKit, на котором работают Safari и все сторонние браузеры на iPhone и iPad, поэтому для компрометации иногда достаточно было открыть вредоносную страницу. Уязвимости получили идентификаторы CVE-2025-43529 и CVE-2025-14174 и, по данным Apple, применялись в рамках единой цепочки атак.
Первая ошибка позволяла выполнить произвольный код из‑за некорректной работы с памятью в WebKit. Вторую обнаружили совместно со специалистами Google Threat Analysis Group — она также затрагивала механизм браузерного движка. Ошибки устранили за счёт улучшенного управления памятью и дополнительных проверок; подробности намеренно не раскрываются, чтобы не облегчать работу атакующим — стандартный подход для zero-day кейсов.
Патчи вышли сразу для всей экосистемы: iOS и iPadOS, macOS, watchOS, tvOS, visionOS и Safari. Поскольку на iOS все браузеры обязаны использовать WebKit, под ударом были даже Chrome и другие альтернативы. В такой архитектуре единая точка уязвимости становится общесистемной, а один патч закрывает сразу множество поверхностей атаки.
Apple вновь настаивает на немедленной установке обновлений: zero-day прежде всего бьёт по устройствам с устаревшим ПО. Компания напоминает о режиме Lockdown Mode для тех, кто может быть целью точечных атак, и советует следить за нетипичным поведением — перегревом, стремительной разрядкой и сбоями Safari. Для большинства пользователей своевременное обновление до iOS 26.2 остаётся самым эффективным способом снизить риски.
