Apple представила оновлення iOS 26.4 для iPhone, яке містить більше 35 важливих виправлень безпеки. Новий реліз не лише додає свіжі емодзі, а й закриває низку вразливостей, що стосуються захисту паролів, банківських додатків і особистих даних користувачів. У компанії наголошують, що ці уразливості ще не були використані в атаках, однак їхній характер робить зволікання з оновленням небезпечним.
Про це розповідає ProIT
Захист iPhone від викрадення та уразливості Keychain
Найсерйозніша з виявлених проблем, CVE-2026-28895, стосувалася механізму Stolen Device Protection («Захист вкраденого пристрою»). Вона дозволяла обійти цю функцію, зробивши пристрій уразливим навіть у разі знання пароля. Зловмисник міг отримати доступ до додатків, що потребують Face ID, просто ввівши код розблокування, що відкривало шлях до банківських сервісів та месенджерів.
Відтепер, починаючи з iOS 26.4, ця функція активується автоматично, а не вимагає ручного налаштування, і працює разом із удосконаленими механізмами перевірки.
“Важливо, що починаючи з iOS 26.4 ця функція активується за замовчуванням. Раніше її потрібно було вмикати вручну, а тепер вона працює разом із виправленими механізмами перевірки”.
Ще одна критична уразливість, зареєстрована як CVE-2026-28864, зачіпала Apple Keychain — основне сховище паролів, ключів та токенів на iPhone. Через недосконалу перевірку прав доступу зловмисник із фізичним доступом до пристрою міг отримати всі ці дані. Хоча для успішної атаки потрібен був сам пристрій, така проблема підсилює необхідність негайного оновлення.
Додаткові виправлення: пошта, AirPrint, Safari та WebKit
Уразливість CVE-2026-20692 виявилася у застосунку Apple Mail — функції «Приховати IP-адресу» та блокування віддаленого контенту могли не працювати належним чином. Навіть при активованих налаштуваннях IP-адреса користувача могла стати доступною через елементи відстеження в листах, що загрожує конфіденційності особистої інформації.
Окрема проблема, CVE-2026-20688, була виявлена в AirPrint. Вона дозволяла деяким додаткам виходити за межі sandbox — захищеного середовища операційної системи. Це відкривало потенціал для небезпечних атак, адже шкідливі програми могли отримати доступ до даних інших додатків чи самої системи.
Оновлення також містить серйозні виправлення у WebKit — рушії, що лежить в основі Safari та інших браузерів на iPhone. Серед них:
- Можливість обходу політики одного джерела (CVE-2026-20643);
- Порушення політики безпеки контенту (CVE-2026-20665);
- Виконання шкідливого коду поза межами sandbox (CVE-2026-28859).
Особливо небезпечним був останній пункт: достатньо відвідати спеціально підготовлений сайт, щоб браузер міг виконати небезпечний код. Оскільки всі браузери на iOS працюють на основі WebKit, ризик стосується кожного користувача пристрою Apple.
Apple підкреслює, що жодна з цих уразливостей наразі не була використана в атаках, однак після оприлюднення патчів зловмисники можуть почати шукати неоновлені пристрої для атак. Оновлення доступне для всіх моделей iPhone, що підтримують iOS 26, і рекомендовано до встановлення без зволікань через серйозні ризики для захисту даних і приватності.
