Apple выпустила большой набор обновлений безопасности для iPhone, iPad, Mac и Safari. В пакет вошли iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 и Safari 26.5.2. Релиз вышел 29 июня 2026 года, а список исправлений компания опубликовала в своих бюллетенях безопасности.
Главная зона риска — WebKit. Это движок Safari и веб-контента в приложениях Apple. Через него открываются страницы в браузере, встроенные окна авторизации, предпросмотр ссылок и часть webview-сценариев внутри приложений. Поэтому патчи WebKit важны даже для тех, кто «почти не пользуется Safari»: на iOS сторонние браузеры всё равно работают поверх WebKit.
SecurityWeek насчитал 37 исправлений в iOS 26.5.2, iPadOS 26.5.2 и macOS Tahoe 26.5.2. Они затрагивают IOGPUFamily, ядро системы, libxslt, Web Extensions, WebKit и WebRTC. В Safari 26.5.2 закрыта 31 уязвимость, а 26 проблем связаны с WebKit, WebKit Canvas и WebKit Storage.
В бюллетене Apple есть сценарии с утечкой чувствительных данных через вредоносную страницу, межсайтовой кражей данных, повреждением памяти, раскрытием памяти процесса, выходом ограниченного веб-контента за пределы песочницы и тихим перехватом данных из буфера обмена.
Песочница — это изолированная зона, где должен выполняться веб-контент. Идея простая: даже если страница ведёт себя плохо, она не должна вылезти за свои границы и добраться до того, что ей не положено. В этом обновлении Apple закрыла минимум две проблемы, где вредоносный сайт мог обрабатывать ограниченный веб-контент вне песочницы.
Отдельно неприятно выглядит WebKit Storage. В одном из исправленных сценариев вредоносный сайт мог тихо перехватить данные буфера обмена. Буфер обмена часто недооценивают, но в нём легко оказываются одноразовые коды, адреса кошельков, фрагменты паролей, токены, рабочие ссылки и куски переписки. Apple закрыла эту проблему через улучшенное управление состоянием.
Ядро системы тоже попало под патчи. В iOS, iPadOS и macOS Tahoe исправлены проблемы, из-за которых приложение могло вызвать аварийное завершение системы, записать данные в память ядра, раскрыть состояние ядра или повредить память ядра.
libxslt закрыли из-за ошибок, которые могли приводить к падению процесса при обработке специально созданного веб-контента. WebRTC получил исправления для сценариев с падением процесса и Safari, включая выход за границы памяти и переполнение стека. WebRTC отвечает за коммуникации в реальном времени: видеозвонки, аудио, передачу данных между браузерами и похожие функции.
Safari 26.5.2 отдельно выпустили для macOS Sonoma и macOS Sequoia. Это важно для пользователей, которые ещё не перешли на macOS Tahoe: часть исправлений WebKit они получают через обновление браузера, а не полный апдейт системы. Apple указывает, что эти исправления сначала появились в бета-версии macOS Tahoe 26.6, а теперь доехали до стабильного Safari.
Apple не сообщает, что закрытые уязвимости уже использовались в реальных атаках. В таких случаях это хороший знак, но не повод откладывать установку: WebKit-ошибки обычно опасны именно низким порогом входа. Пользователю достаточно открыть вредоносную страницу, перейти по ссылке из сообщения или попасть на взломанный сайт с подложенным кодом.
В этом релизе заметен ещё один тренд: часть багов нашли с помощью ИИ-инструментов. В бюллетенях Apple среди исследователей указаны Milad Nasr и Nicholas Carlini with Claude, Anthropic, а также OpenAI Codex Security. В списке также есть упоминание GLM от Z.AI и NVIDIA AI Red Team.
Для iPhone и iPad актуальная версия — 26.5.2. Для Mac на Tahoe — macOS 26.5.2. Для пользователей Sonoma и Sequoia отдельно важен Safari 26.5.2. Apple на своей странице обновлений безопасности указывает эти версии как актуальные для iOS/iPadOS, macOS и Safari.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.