Уязвимость CVE-2026-20700 применялась в крайне ограниченных атаках, но Apple оценила её как критически важную, что потребовало срочного выпуска патча.
Компания Apple распространила экстренные обновления для iOS, iPadOS, macOS Tahoe, tvOS, watchOS и visionOS, направленные на устранение активно эксплуатируемой уязвимости.
Уязвимость CVE-2026-20700 использовалась в кампаниях, которые Apple характеризует как «особо изощрённые». При этом её рейтинг CVSS на данный момент не определён.
Ошибка классифицирована как нарушение целостности памяти в dyld — компоновщике динамических библиотек Apple. Её успешное использование даёт злоумышленнику возможность выполнять произвольный код в системе, но только при наличии у него изначальных прав на запись в память.
Обнаружение уязвимости принадлежит специалистам Google Threat Analysis Group. Точные обстоятельства её выявления не раскрываются.
«Из отчёта, полученного Apple, стало ясно, что эта уязвимость могла применяться в рамках высокоцелевой и сложной атаки на пользователей версий iOS ранее 26», — указано в сообщении компании. — «Идентификаторы CVE-2025-14174 и CVE-2025-43529 также были присвоены в ответ на эту информацию».
Как сообщает The Hacker News, проблемы, соответствующие двум последним идентификаторам, были исправлены ещё в декабре. Одну из них — CVE-2025-14174 (переполнение буфера в компоненте ANGLE Metal, оценка CVSS 8.8) — также обнаружили эксперты Google.
CVE-2025-43529 (оценка CVSS 8.8) представляет собой уязвимость типа «use-after-free» в WebKit, которая также может приводить к выполнению произвольного кода при обработке веб-контента.
«Те немногие детали, что оказались в открытом доступе, позволяют предположить, что «особо изощрённая атака» была работой высококвалифицированных и хорошо подготовленных специалистов, — отмечает Никита Павлов, эксперт по кибербезопасности компании SEQ. — С высокой долей вероятности, это атака, поддерживаемая государственными структурами. Упоминание Apple более ранних уязвимостей может означать, что CVE-2026-20700 использовалась в связке с другими ошибками. Подобный сценарий, если и не является стандартным, то уж точно весьма распространён».
Устранение уязвимости CVE-2026-20700 во всех перечисленных операционных системах Apple осуществляется обновлением до версии 26.3. Это касается не только смартфонов, планшетов и компьютеров, но и последних моделей Apple TV, Apple Watch и Vision Pro.
Помимо этого, компания предоставила обновления для ряда других, в том числе предыдущих версий продуктов: iOS 18.7.5 и iPadOS 18.7.5, macOS Sequoia 15.7.4 и macOS Sonoma 14.8.4. Версия 26.3 также включает в себя улучшения для браузера Safari.
