К ленте

Apple меняет подход к выпуску обновлений безопасности из-за угроз от ИИ

Apple меняет подход к выпуску обновлений безопасности из-за угроз от ИИ, выпустив iOS 26.5.2 с исправлениями для 29 уязвимостей.

Добавьте как предпочтительный источник в Google

Ключевые выводы

  1. Apple выпустила iOS 26.5.2 в понедельник, в котором содержатся исправления для 29 уязвимостей безопасности.
  2. Ни одна из исправленных уязвимостей не является нулевым днем, но все же важно обновить устройство как можно скорее.
  3. Многие уязвимости связаны с тем, как WebKit обрабатывает пользовательские данные, особенно при доступе к веб-сайтам.
  4. Apple меняет подход к выпуску обновлений безопасности из-за угроз от моделей, таких как Mythos от Anthropic.

Содержание


Хотя внимание технологического мира в настоящее время сосредоточено на iOS 27, Apple продолжает выпускать обновления для iOS 26. Хотя в эпохе "26" вряд ли мы увидим еще одно обновление с множеством новых функций, всегда будут ошибки и уязвимости безопасности, которые нужно исправлять, когда Apple или сторонние исследователи их обнаруживают. Например, в понедельник Apple выпустила iOS 26.5.2, в котором содержатся исправления для 29 уязвимостей безопасности.

Более интересно, чем то, какие ошибки исправляют эти патчи, то, что компания изначально не собиралась их выпускать. На самом деле, iOS 26.5.2 знаменует собой резкое изменение в подходе Apple к выпуску обновлений безопасности, в значительной степени из-за потенциальных угроз от новых моделей ИИ.

iOS 26.5.2 не всегда была запланирована. Apple сообщила Reuters ранее на этой неделе, что эти патчи на самом деле предназначались для будущей версии iOS — возможно, iOS 26.6 — но теперь компания меняет подход к обновлениям безопасности, в частности из-за угроз безопасности от таких моделей, как Claude Mythos от Anthropic. Эти модели могут легко обнаруживать уязвимости в программном обеспечении раньше, чем человеческие исследователи, и поэтому Apple считает необходимым выпускать патчи сразу, как только они становятся доступны. Традиционно компания объединяет патчи безопасности с обычными обновлениями программного обеспечения, в отличие от других компаний, которые разделяют патчи безопасности и обновления функций. Но по мере распространения этих новых моделей ИИ и роста риска того, что злоумышленники обнаружат уязвимости безопасности, Apple теперь будет выпускать новые патчи гораздо раньше, чем обычно.

Таким образом, вы можете ожидать, что на ваших устройствах Apple появится больше обновлений, чем в прошлом. Я не удивлюсь, если iOS 26.5.3 появится раньше, чем iOS 26.6, и Apple может выпустить больше обновлений "iOS 26", чем обычно, перед выходом iOS 27 этой осенью. Вы всегда должны обновлять свои устройства, когда эти обновления становятся доступными, так как угроза от моделей безопасности ИИ действительно значительна.

Вот что исправляет iOS 26.5.2

Во-первых, хорошие новости: ни одна из этих уязвимостей не является "нулевым днем". Нулевой день — это уязвимость безопасности, которая публично раскрыта или активно эксплуатируется до того, как разработчик программного обеспечения успевает выпустить патч. Они особенно опасны, так как дают хакерам преимущество: они могут пытаться найти эксплойт — или, что еще хуже, воспользоваться этим эксплойтом — столько времени, сколько потребуется разработчику для выпуска обновления и для установки его пользователями. К счастью, ни одна из этих уязвимостей не кажется подходящей под это определение, что означает, что это не критическая ситуация. Тем не менее, любая неустраненная уязвимость безопасности вызывает беспокойство, и теперь, когда они раскрыты, только вопрос времени, когда кто-то поймет, как их эксплуатировать — особенно с помощью новых моделей ИИ. Поэтому важно установить iOS 26.5.2 как можно скорее.

Согласно официальным примечаниям по безопасности Apple, iOS 26.5.2 (и iPadOS 26.5.2) исправляет 29 уязвимостей безопасности. Многие из уязвимостей связаны с тем, как WebKit, движок Apple, который управляет Safari, защищает пользовательские данные. Вы увидите некоторые уязвимости, которые могут раскрыть конфиденциальные данные, если пользователь обрабатывает вредоносный веб-контент (например, если вы нажимаете на мошенническую ссылку), а также одну уязвимость, которая может утечь конфиденциальные данные просто при посещении веб-сайта, даже если этот сайт не является вредоносным. Другой патч исправляет уязвимость, которая позволяла бы вредоносным веб-сайтам обрабатывать данные вне "песочницы", или защищенного элемента, в котором Apple хранит веб-сайты, чтобы они не заходили в защищенные части iOS, а другой патч устраняет уязвимость, которая могла бы украсть данные из буфера обмена без вашего ведома.

Вы найдете все 29 патчей, перечисленных ниже, вместе с описанием, исправлением и номером CVE (Общие уязвимости и экспозиции), используемым для их отслеживания. Снова, ни одна из этих уязвимостей не имеет известного активного эксплойта.

  1. IOGPUFamily: Приложение может вызвать неожиданное завершение работы системы. Проблема с состоянием была решена с помощью улучшенного управления состоянием. CVE-2026-43743: Lyutoon, Dun

  2. Kernel: Приложение может вызвать неожиданное завершение работы системы или записать память ядра. Проблема была решена с помощью улучшенной очистки ввода. CVE-2026-43724:

  3. Kernel: Приложение может утечь конфиденциальное состояние ядра. Проблема была решена с помощью улучшенной очистки ввода. CVE-2026-43722.

  4. Kernel: Приложение может вызвать неожиданное завершение работы системы или повредить память ядра. Эта проблема была решена с помощью улучшенной проверки ввода. CVE-2026-39868.

  5. libxslt: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою процесса. Проблема двойного освобождения была решена с помощью улучшенного управления памятью. CVE-2026-43706.

  6. libxslt: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою процесса. Проблема была решена с помощью улучшенного управления памятью. CVE-2026-43703.

  7. Web Extensions: Вредоносное веб-расширение может вызвать неожиданный сбой процесса. Проблема использования после освобождения была решена с помощью улучшенного управления памятью. CVE-2026-43704.

  8. WebKit: Обработка вредоносно созданного веб-контента может раскрыть конфиденциальную информацию пользователя. Проблема кросс-домена была решена с помощью улучшенного отслеживания безопасности. CVE-2026-43700.

  9. WebKit: Вредоносный веб-сайт может экстрагировать данные кросс-домена. Проблема была решена с помощью улучшенных проверок. CVE-2026-43735.

  10. WebKit: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою процесса. Проблема использования после освобождения была решена с помощью улучшенного управления памятью. CVE-2026-43734/CVE-2026-43726/CVE-2026-43709/CVE-2026-43699/CVE-2026-43742.

  11. WebKit: Обработка вредоносно созданного веб-контента может раскрыть конфиденциальную информацию пользователя. Проблема обработки путей была решена с помощью улучшенной проверки. CVE-2026-43732.

  12. WebKit: Обработка вредоносно созданного веб-контента может привести к повреждению памяти. Проблема использования после освобождения была решена с помощью улучшенного управления памятью. CVE-2026-43731/CVE-2026-43715.

  13. WebKit: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою Safari. Проблема использования после освобождения была решена с помощью улучшенного управления памятью. CVE-2026-43727.

  14. WebKit: Вредоносный веб-сайт может обрабатывать ограниченный веб-контент вне песочницы. Проблема была решена с помощью улучшенной проверки ввода. CVE-2026-43725.

  15. WebKit: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою процесса. Проблема была решена с помощью улучшенного управления памятью. CVE-2026-43663/CVE-2026-39872/CVE-2026-43712.

  16. WebKit: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою Safari. Проблема была решена с помощью улучшенного управления памятью. CVE-2026-43716.

  17. WebKit: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою Safari. Проблема доступа вне границ была решена с помощью улучшенной проверки границ. CVE-2026-43676.

  18. WebKit: Обработка вредоносно созданного веб-контента может привести к раскрытию памяти процесса. Проблема была решена с помощью улучшенного управления памятью. CVE-2026-43740.

  19. WebKit: Посещение веб-сайта может утечь конфиденциальные данные. Проблема разрешений была решена с помощью дополнительных ограничений. CVE-2026-43713.

  20. WebKit: Вредоносный веб-сайт может экстрагировать данные кросс-домена. Проблема была решена с помощью улучшенной проверки ввода. CVE-2026-43708.

  21. WebKit: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою процесса. Проблема повреждения памяти была решена с помощью улучшенного управления памятью. CVE-2026-43707.

  22. WebKit: Обработка вредоносно созданного веб-контента может привести к повреждению памяти. Проблема путаницы типов была решена с помощью улучшенных проверок. CVE-2026-43705.

  23. WebKit: Вредоносный веб-сайт может обрабатывать ограниченный веб-контент вне песочницы. Проблема была решена с помощью улучшенных проверок. CVE-2026-43701.

  24. WebKit: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою Safari. Проблема записи вне границ была решена с помощью улучшенной проверки ввода. CVE-2026-43745.

  25. WebKit Canvas: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою Safari. Проблема использования после освобождения была решена с помощью улучшенного управления памятью. CVE-2026-43720.

  26. WebKit Storage: Вредоносный веб-сайт может тихо захватить данные из буфера обмена. Эта проблема была решена с помощью улучшенного управления состоянием. CVE-2026-43721.

  27. WebRTC: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою процесса. Проблема доступа вне границ была решена с помощью улучшенной проверки границ. CVE-2026-28979.

  28. WebRTC: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою Safari. Проблема переполнения стека была решена с помощью улучшенной проверки ввода. CVE-2026-43718.

  29. WebRTC: Обработка вредоносно созданного веб-контента может привести к неожиданному сбою Safari. Проблема использования после освобождения была решена с помощью улучшенного управления памятью. CVE-2026-43717/CVE-2026-43746.

Как обновить до iOS 26.5.2

Установка этого патча безопасности такая же, как и любое другое обновление iOS. Если у вас включены автоматические обновления, операционная система должна обновиться сама в нужное время. Однако вы можете вручную запустить процесс, перейдя в Основные > Обновление ПО и следуя инструкциям на экране.