11 февраля 2026 года Apple одним днём обновила сразу шесть операционных систем: iOS, iPadOS, macOS Tahoe, tvOS, watchOS и visionOS. Все получили индекс 26.3. Суммарный счёт закрытых уязвимостей составил 71. Для понимания масштаба: предыдущий сопоставимый патч в феврале 2025 года содержал около 40 исправлений. Но дело не в количестве. Среди закрытых ошибок оказался первый активно эксплуатируемый zero-day текущего года, и именно этот факт мгновенно привлёк внимание специалистов по безопасности по всему миру.
CVE-2026-20700 и атака, которую Apple назвала "чрезвычайно изощрённой"
Центральная фигура февральского патча - уязвимость CVE-2026-20700 в компоненте dyld, динамическом компоновщике Apple. Dyld запускается раньше любого другого кода при открытии приложения: именно он загружает нужные библиотеки в память процесса. Контроль над ним означает контроль над устройством ещё до того, как начнёт работать любая защита.
Уязвимость относится к классу memory corruption. По данным Apple, атакующий с возможностью записи в память способен выполнить произвольный код на целевом устройстве. CVSS-оценка составила 7.8, что соответствует высокому уровню опасности. Компания подтвердила реальную эксплуатацию уязвимости в атаках против конкретных, прицельно выбранных лиц на версиях iOS ниже iOS 26. Формулировка "чрезвычайно изощрённая атака" в лексиконе Apple означает только одно: шпионское программное обеспечение профессионального уровня, созданное под конкретные цели.
Уязвимость обнаружила и передала Apple команда Google Threat Analysis Group. Примечательно, что CVE-2026-20700 - не изолированный баг. Согласно официальному бюллетеню, в рамках того же инцидента ранее были выпущены CVE-2025-14174 (use-after-free в WebKit, приводящий к выполнению произвольного кода при обработке вредоносного веб-контента) и CVE-2025-43529 (аналогичная уязвимость WebKit с оценкой CVSS 8.8). Это характерный для Apple паттерн: один сложный целевой взлом распутывается постепенно и порождает несколько CVE, выпускаемых в разные месяцы по мере завершения анализа.
Что ещё закрыло обновление и почему это не мелочи
За заголовком про zero-day скрывается ещё 70 исправлений, часть из которых не менее серьёзна. Два CVE получили статус, позволяющий приложению получить права суперпользователя root: CVE-2026-20609 (race condition в системе управления состоянием) и CVE-2026-20617 (ошибка обработки путей). Оба закрыты в iOS, iPadOS и macOS Tahoe.
Уязвимость CVE-2026-20638, обнаруженная исследователем Нилсом Ханффом из Института Хассо Платтнера, позволяла удалённому пользователю производить запись произвольных файлов в файловую систему. Ошибка обработки пути устранена улучшением логики валидации. CVE-2026-20675 и CVE-2026-20634, найденные исследователем Джорджем Кархемским в рамках программы Trend Micro Zero Day Initiative, затрагивали обработку изображений: специально подготовленный файл мог раскрыть содержимое памяти процесса либо вызвать аварийное завершение системы.
Отдельного внимания заслуживает CVE-2026-20671 - уязвимость в реализации Bluetooth, позволявшая атакующему в привилегированной сетевой позиции вызывать отказ в обслуживании через специально сформированные Bluetooth-пакеты. Bluetooth как вектор атаки остаётся хронически недооцениваемым: пользователи привыкли думать о нём как о способе подключить наушники, но не как о поверхности для атаки. CVE-2026-20671 напоминает об этом в полный голос.
Siri на заблокированном экране и проблема, которая не уходит
Особого разговора заслуживает кластер уязвимостей, связанных с Siri и VoiceOver на заблокированных устройствах. Это не первый случай и уже точно не последний: доступ к части пользовательских данных через голосовой ассистент при заблокированном экране фиксируется в патчах Apple с завидной регулярностью.
В iOS 26.3 закрыто несколько подобных багов: приложения и системные компоненты при определённых условиях могли получать доступ к чувствительным данным пользователя через интерфейс Siri или функции чтения с экрана. Специалисты SANS ISC прямо рекомендуют пользователям отключить Siri и VoiceOver на заблокированном экране, не дожидаясь очередного патча. По сути это признание того, что архитектурная проблема сложнее, чем отдельно взятый CVE.
Обновления для старых iOS и почему это важно не только для ретроградов
Apple нечасто одновременно с основными релизами обновляет старые ветки iOS. Февраль стал исключением. Параллельно с iOS 26.3 вышли iOS 18.7.5 и iPadOS 18.7.5, предназначенные для устройств, не поддерживающих iOS 26: iPhone XS, XS Max, XR и iPad седьмого поколения.
Это принципиальный момент. Среди 71 уязвимости наверняка есть те, что затрагивают старые версии системы так же, как актуальные. Публикация бюллетеня Apple сама по себе создаёт определённый риск: теперь любой желающий знает, где именно искать дыры в устройствах, владельцы которых по тем или иным причинам не обновились. Именно поэтому Apple настоятельно рекомендует установить патч немедленно, и именно поэтому поддержка старых веток - не жест доброй воли, а необходимость.
Девять zero-day за 2025 год и что это говорит о 2026-м
Контекст важен. В 2025 году Apple закрыла девять уязвимостей с подтверждённой эксплуатацией в реальных атаках. CVE-2026-20700 стал первым в 2026-м, и произошло это уже в феврале. Скорость, с которой профессиональные атакующие находят и используют уязвимости в самой охраняемой мобильной экосистеме мира, не снижается.
Бытует мнение, что iPhone неуязвим по определению, что закрытая экосистема Apple надёжнее любой альтернативы. Этот взгляд технически оправдан в сравнении, но опасен как абсолют. Атаки уровня CVE-2026-20700, по словам Apple, нацелены на конкретных людей. Это значит, что рядового пользователя подобный zero-day в прицеле, вероятно, не окажется. Однако 70 других уязвимостей, закрытых тем же патчем, куда менее избирательны.
Февральский релиз Apple лишний раз подтверждает нехитрое правило: самая сложная система защиты бесполезна, если кнопка "Обновить" остаётся нажатой на следующей неделе. Патч существует. Остальное зависит от пользователя.
Канал сайта в Telegram
Канал сайта на YouTube