Apple выпустила пакет обновлений для iOS, iPadOS, macOS, tvOS, watchOS и visionOS, закрыв первую в 2026 году уязвимость нулевого дня. По данным компании, брешь уже могла применяться на практике и не просто рандомно, а в рамках крайне сложной атаки, рассчитанной на конкретных пользователей.
Проблему обнаружила Google Threat Analysis Group. Речь идет о повреждении памяти в dyld, системном редакторе динамических ссылок. Этот компонент незаметно работает в фоне и фактически участвует в запуске любого приложения: при открытии программы dyld подгружает нужные общие библиотеки и связывает их между собой. Поэтому сбой в таком узле потенциально опасен для всей системы.
Уязвимость получила идентификатор CVE-2026-20700 и критическую оценку 9,8 из 10. Apple уточняет, что при наличии у злоумышленника возможности записи в память ошибка может привести к выполнению произвольного кода на уязвимом устройстве. В том же сообщении компания упоминает, что параллельно были выпущены исправления и для CVE-2025-14174, а также CVE-2025-43529, связанные с тем же отчетом.
Отдельно обращает на себя внимание и источник находки: GTAG обычно отслеживает угрозы, за которыми стоят структуры, финансируемые государствами. Косвенно это указывает, что под удар могли попасть политики, дипломаты, руководители организаций критической инфраструктуры, а также специалисты из оборонной, аэрокосмической или телекоммуникационной сфер.
Обновления распространяются на iPhone 11 и новее, ряд iPad (включая iPad Pro 12,9 дюйма от 3-го поколения, iPad Pro 11 дюймов от 1-го поколения, iPad Air от 3-го поколения, iPad от 8-го поколения и iPad mini от 5-го поколения), а также компьютеры Mac на macOS Tahoe. Исправление включено в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3, поэтому откладывать установку патчей не стоит (фото: techradar.com).
