Apple закрыла опасные уязвимости в WebKit через экстренное обновление iOS 26.2

Открытие сайта — и взлом: Apple устранила угрозу, затронувшую все браузеры на iPhone

Apple выпустила экстренное обновление безопасности iOS 26.2, устранив сразу две уязвимости, которые, по данным компании, использовались в реальных целевых атаках. Как уточняется в официальном заявлении, взломы были сложными и затрагивали ограниченный круг пользователей, предполагая использование шпионского ПО, а не массовую кражу данных или средств.

Обе уязвимости были выявлены в движке WebKit, который лежит в основе не только Safari, но и всех сторонних браузеров на устройствах с iOS и iPadOS. Это означало, что достаточно было просто открыть вредоносный сайт, чтобы устройство оказалось под угрозой. Проблемам присвоены идентификаторы CVE-2025-43529 и CVE-2025-14174. По данным Apple, они использовались как части единой цепочки атак.

Первая из них позволяла злоумышленнику выполнять произвольный код на устройстве из-за ошибок в управлении памятью WebKit. Вторая была обнаружена совместно с Google Threat Analysis Group и также касалась архитектуры браузерного движка. Компания закрыла уязвимости за счёт улучшения управления памятью и внедрения дополнительных проверок, однако технические детали не раскрываются, чтобы не дать киберпреступникам дополнительных инструментов.

Обновления безопасности выпущены сразу для всех систем Apple: iOS, iPadOS, macOS, watchOS, tvOS, visionOS, а также для самого Safari. Поскольку все браузеры на iOS обязаны использовать WebKit, угроза затрагивала и такие альтернативы, как Chrome и Firefox.

Как сообщает издание «Пепелац Ньюс», Apple настоятельно рекомендует немедленно установить обновления, особенно учитывая характер zero-day атак, которые, как правило, ориентированы на устройства с устаревшим ПО. Дополнительно пользователям, находящимся в зоне риска, советуют активировать режим Lockdown Mode и обращать внимание на нетипичное поведение устройства — перегрев, быстрый разряд аккумулятора или сбои в работе Safari.