До стрічки

Apple змінює спосіб випуску оновлень безпеки через загрози від ШІ

Apple змінює спосіб випуску оновлень безпеки через загрози від ШІ, випустивши iOS 26.5.2 з виправленнями для 29 вразливостей.

Додати як переважне джерело в Google

Кредит: Editorial RF/Getty Images

Основні висновки

  1. Apple випустила iOS 26.5.2 в понеділок, що включає виправлення для 29 вразливостей безпеки.
  2. Жодна з вразливостей не є нульовим днем, але все ж важливо оновити систему якомога швидше.
  3. Багато з вразливостей пов'язані з тим, як WebKit обробляє дані користувачів, зокрема при доступі до веб-сайтів.
  4. Apple змінює спосіб випуску оновлень безпеки через загрози від моделей, таких як Mythos від Anthropic.

Зміст


Хоча колективна увага технологічного світу наразі зосереджена на iOS 27, Apple все ще випускає оновлення для iOS 26. Хоча ми навряд чи отримаємо ще одне оновлення з новими функціями в епосі "26", завжди будуть помилки та вразливості безпеки, які потрібно усувати, коли Apple або сторонні дослідники їх виявляють. Наприклад: в понеділок Apple випустила iOS 26.5.2, яке містить виправлення для 29 вразливостей безпеки.

Більш цікаво, ніж те, які помилки виправляють ці патчі, це те, що компанія спочатку не планувала їх випускати. Насправді, iOS 26.5.2 є яскравою зміною в тому, як Apple випускає оновлення безпеки, в значній мірі через потенційні загрози від нових моделей ШІ.

iOS 26.5.2 не завжди планувалася. Apple повідомила Reuters на початку цього тижня, що ці патчі насправді призначалися для майбутньої версії iOS — можливо, iOS 26.6 — але компанія зараз змінює свій підхід до оновлень безпеки, зокрема через загрози безпеці від моделей, таких як Claude Mythos від Anthropic. Ці моделі можуть легко виявляти вразливості безпеки в програмному забезпеченні раніше, ніж людські дослідники, і тому Apple вважає за необхідне випускати патчі, як тільки вони стають доступними. Традиційно компанія об'єднує патчі безпеки з типовими оновленнями програмного забезпечення, на відміну від інших компаній, які відокремлюють патчі безпеки від оновлень функцій. Але оскільки ці нові моделі ШІ поширюються, і ризик того, що зловмисники виявлять вразливості безпеки зростає, Apple тепер буде випускати нові патчі набагато раніше, ніж зазвичай.

Таким чином, ви повинні очікувати, що на ваших пристроях Apple з'явиться більше оновлень, ніж раніше. Я б не здивувався, якщо iOS 26.5.3 з'явиться на сцені раніше, ніж iOS 26.6, а Apple може випустити більше оновлень "iOS 26", ніж зазвичай, перед випуском iOS 27 цієї осені. Ви завжди повинні оновлювати свої пристрої, коли ці оновлення стають доступними, оскільки загроза від моделей безпеки ШІ дійсно є значною.

Ось що виправляє iOS 26.5.2

По-перше, хороша новина: жодна з цих вразливостей не є "нульовим днем". Нульовий день — це вразливість безпеки, яка публічно розкривається або активно експлуатується до того, як розробник програмного забезпечення має можливість випустити патч. Вони особливо небезпечні, оскільки дають хакерам перевагу: вони можуть намагатися знайти експлуатацію — або, що гірше, скористатися цією експлуатацією — протягом усього часу, поки розробник випускає оновлення, і поки його користувацька база його встановлює. На щастя, жодна з цих вразливостей не виглядає так, ніби вона підпадає під цю категорію, що означає, що це не критична ситуація. Проте будь-яка неусунута вразливість безпеки є тривожним знаком, і тепер, коли вони розкриті, це лише питання часу, коли хтось зрозуміє, як їх експлуатувати — особливо за допомогою нових моделей ШІ. Тому важливо встановити iOS 26.5.2 якомога швидше.

1

Що ви думаєте досі?

Згідно з офіційними примітками безпеки Apple, iOS 26.5.2 (і iPadOS 26.5.2) виправляє 29 вразливостей безпеки. Багато з цих вразливостей пов'язані з тим, як WebKit, движок Apple, що живить Safari, захищає дані користувачів. Ви побачите деякі вразливості, які можуть розкрити чутливі дані, якщо користувач обробляє шкідливий веб-контент (наприклад, якщо ви натискаєте на шахрайське посилання), а також одну вразливість, яка може витікати чутливі дані просто відвідування веб-сайту, навіть якщо цей сайт не є обов'язково шкідливим. Інший патч вирішує проблему, яка дозволила б шкідливим веб-сайтам обробляти дані поза "пісочницею", або безпечним елементом, в якому Apple зберігає веб-сайти, щоб вони не потрапляли в захищені частини iOS, в той час як інший патч усуває вразливість, яка могла б викрасти дані буфера обміну без вашого відома.

Ви знайдете всі 29 патчів, перерахованих нижче, разом з описом, виправленням і номером CVE (Загальні вразливості та експозиції), що використовується для їх відстеження. Знову ж таки, жодна з цих вразливостей не має відомої активної експлуатації.

  1. IOGPUFamily: Додаток може викликати несподіване завершення системи. Умову гонки було усунуто з покращеним обробленням стану. CVE-2026-43743: Lyutoon, Dun

  2. Kernel: Додаток може викликати несподіване завершення системи або записувати пам'ять ядра. Проблему було усунуто з покращеною санітарною обробкою вводу. CVE-2026-43724:

  3. Kernel: Додаток може витікати чутливий стан ядра. Проблему було усунуто з покращеною санітарною обробкою вводу. CVE-2026-43722.

  4. Kernel: Додаток може викликати несподіване завершення системи або пошкоджувати пам'ять ядра. Цю проблему було усунуто з покращеною валідацією вводу. CVE-2026-39868.

  5. libxslt: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою процесу. Проблему подвійного звільнення було усунуто з покращеним управлінням пам'яттю. CVE-2026-43706.

  6. libxslt: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою процесу. Проблему було усунуто з покращеним управлінням пам'яттю. CVE-2026-43703.

  7. Web Extensions: Шкідлива веб-розширення може викликати несподіваний збій процесу. Проблему використання після звільнення було усунуто з покращеним управлінням пам'яттю. CVE-2026-43704.

  8. WebKit: Обробка шкідливо створеного веб-контенту може розкрити чутливу інформацію користувача. Проблему крос-домену було усунуто з покращеним відстеженням безпечних джерел. CVE-2026-43700.

  9. WebKit: Шкідливий веб-сайт може екстрагувати дані з крос-домену. Проблему було усунуто з покращеними перевірками. CVE-2026-43735.

  10. WebKit: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою процесу. Проблему використання після звільнення було усунуто з покращеним управлінням пам'яттю. CVE-2026-43734/CVE-2026-43726/CVE-2026-43709/CVE-2026-43699/CVE-2026-43742.

  11. WebKit: Обробка шкідливо створеного веб-контенту може розкрити чутливу інформацію користувача. Проблему обробки шляхів було усунуто з покращеною валідацією. CVE-2026-43732.

  12. WebKit: Обробка шкідливо створеного веб-контенту може призвести до пошкодження пам'яті. Проблему використання після звільнення було усунуто з покращеним управлінням пам'яттю. CVE-2026-43731/CVE-2026-43715.

  13. WebKit: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою Safari. Проблему використання після звільнення було усунуто з покращеним управлінням пам'яттю. CVE-2026-43727.

  14. WebKit: Шкідливий веб-сайт може обробляти обмежений веб-контент поза пісочницею. Проблему було усунуто з покращеною валідацією вводу. CVE-2026-43725.

  15. WebKit: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою процесу. Проблему було усунуто з покращеним управлінням пам'яттю. CVE-2026-43663/CVE-2026-39872/CVE-2026-43712.

  16. WebKit: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою Safari. Проблему було усунуто з покращеним управлінням пам'яттю. CVE-2026-43716.

  17. WebKit: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою Safari. Проблему доступу за межами меж було усунуто з покращеною перевіркою меж. CVE-2026-43676.

  18. WebKit: Обробка шкідливо створеного веб-контенту може призвести до розкриття пам'яті процесу. Проблему було усунуто з покращеним управлінням пам'яттю. CVE-2026-43740.

  19. WebKit: Відвідування веб-сайту може витікати чутливі дані. Проблему дозволів було усунуто з додатковими обмеженнями. CVE-2026-43713.

  20. WebKit: Шкідливий веб-сайт може екстрагувати дані з крос-домену. Проблему було усунуто з покращеною валідацією вводу. CVE-2026-43708.

  21. WebKit: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою процесу. Проблему пошкодження пам'яті було усунуто з покращеним управлінням пам'яттю. CVE-2026-43707.

  22. WebKit: Обробка шкідливо створеного веб-контенту може призвести до пошкодження пам'яті. Проблему плутанини типів було усунуто з покращеними перевірками. CVE-2026-43705.

  23. WebKit: Шкідливий веб-сайт може обробляти обмежений веб-контент поза пісочницею. Проблему було усунуто з покращеними перевірками. CVE-2026-43701.

  24. WebKit: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою Safari. Проблему запису за межами меж було усунуто з покращеною валідацією вводу. CVE-2026-43745.

  25. WebKit Canvas: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою Safari. Проблему використання після звільнення було усунуто з покращеним управлінням пам'яттю. CVE-2026-43720.

  26. WebKit Storage: Шкідливий веб-сайт може безшумно викрасти дані буфера обміну. Цю проблему було усунуто через покращене управління станом. CVE-2026-43721.

  27. WebRTC: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою процесу. Проблему доступу за межами меж було усунуто з покращеною перевіркою меж. CVE-2026-28979.

  28. WebRTC: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою Safari. Проблему переповнення стеку було усунуто з покращеною валідацією вводу. CVE-2026-43718.

  29. WebRTC: Обробка шкідливо створеного веб-контенту може призвести до несподіваного збою Safari. Проблему використання після звільнення було усунуто з покращеним управлінням пам'яттю. CVE-2026-43717/CVE-2026-43746.

Як оновити до iOS 26.5.2

Встановлення цього патчу безпеки таке ж, як і будь-яке інше оновлення iOS. Якщо у вас увімкнено автоматичні оновлення, ОС повинна оновитися сама в належний час. Однак ви можете вручну запустити процес, перейшовши до Загальні > Оновлення програмного забезпечення і слідуючи інструкціям на екрані.

Apple змінює спосіб випуску оновлень безпеки через загрози від ШІ