Apple представила обновление iOS 26.4 для iPhone, которое содержит более 35 важных исправлений безопасности. Новый релиз не только добавляет свежие эмодзи, но и закрывает ряд уязвимостей, касающихся защиты паролей, банковских приложений и личных данных пользователей. В компании подчеркивают, что эти уязвимости еще не были использованы в атаках, однако их характер делает промедление с обновлением опасным.
Об этом сообщает ProIT
Защита iPhone от кражи и уязвимости Keychain
Наиболее серьезная из выявленных проблем, CVE-2026-28895, касалась механизма Stolen Device Protection («Защита украденного устройства»). Она позволяла обойти эту функцию, сделав устройство уязвимым даже в случае знания пароля. Злоумышленник мог получить доступ к приложениям, требующим Face ID, просто введя код разблокировки, что открывало путь к банковским сервисам и мессенджерам.
С этого момента, начиная с iOS 26.4, эта функция активируется автоматически, а не требует ручной настройки, и работает вместе с усовершенствованными механизмами проверки.
«Важно, что начиная с iOS 26.4 эта функция активируется по умолчанию. Ранее ее нужно было включать вручную, а теперь она работает вместе с исправленными механизмами проверки».
Еще одна критическая уязвимость, зарегистрированная как CVE-2026-28864, затрагивала Apple Keychain — основное хранилище паролей, ключей и токенов на iPhone. Из-за несовершенной проверки прав доступа злоумышленник с физическим доступом к устройству мог получить все эти данные. Хотя для успешной атаки требовался сам устройство, такая проблема подчеркивает необходимость немедленного обновления.
Дополнительные исправления: почта, AirPrint, Safari и WebKit
Уязвимость CVE-2026-20692 была обнаружена в приложении Apple Mail — функция «Скрыть IP-адрес» и блокировка удаленного контента могли не работать должным образом. Даже при активированных настройках IP-адрес пользователя мог стать доступным через элементы отслеживания в письмах, что угрожает конфиденциальности личной информации.
Отдельная проблема, CVE-2026-20688, была выявлена в AirPrint. Она позволяла некоторым приложениям выходить за пределы sandbox — защищенной среды операционной системы. Это открывало потенциал для опасных атак, так как вредоносные программы могли получить доступ к данным других приложений или самой системы.
Обновление также содержит серьезные исправления в WebKit — движке, лежащем в основе Safari и других браузеров на iPhone. Среди них:
- Возможность обхода политики одного источника (CVE-2026-20643);
- Нарушение политики безопасности контента (CVE-2026-20665);
- Выполнение вредоносного кода за пределами sandbox (CVE-2026-28859).
Особенно опасным был последний пункт: достаточно посетить специально подготовленный сайт, чтобы браузер мог выполнить вредоносный код. Поскольку все браузеры на iOS работают на основе WebKit, риск касается каждого пользователя устройства Apple.
Apple подчеркивает, что ни одна из этих уязвимостей в настоящее время не была использована в атаках, однако после публикации патчей злоумышленники могут начать искать не обновленные устройства для атак. Обновление доступно для всех моделей iPhone, поддерживающих iOS 26, и рекомендуется к установке без промедлений из-за серьезных рисков для защиты данных и конфиденциальности.
