С выходом iOS 26.4, Apple представила обширный список обновлений безопасности, которые устраняют более 35 уязвимостей. В то время как многие обновления содержат множество исправлений, в этом релизе есть несколько особенно значительных моментов, на которые стоит обратить внимание.
Обход защиты от кражи устройств
Это наиболее важная уязвимость. Уязвимость (CVE-2026-28895) позволяла злоумышленнику с физическим доступом к iPhone обойти биометрически защищенные приложения, используя только пароль, даже если включена защита от кражи устройства. Это означает, что приложения, требующие Face ID, могли быть доступны с помощью только пароля устройства.
Если вы следили за нашими выпусками, то помните, что я недавно разбирал изменения в защите от кражи устройств. Теперь Apple включает эту функцию по умолчанию в iOS 26.4.
Суть защиты от кражи устройств заключается в том, чтобы сделать украденный iPhone бесполезным, даже если у вора есть ваш пароль. Обход, подобный описанному выше, полностью подрывает эту концепцию. Apple заявляет, что исправление включает улучшенные проверки, и проблема теперь устранена.
Доступ к Keychain для локального злоумышленника
CVE-2026-28864 - это еще одна интересная уязвимость. Хотя подробностей немного, по данным Apple, локальный злоумышленник мог получить доступ к элементам Keychain из-за недостаточной проверки разрешений.
Ваш Keychain хранит пароли, ключи шифрования, токены и многое другое. Проблема здесь является довольно серьезной локальной эскалацией привилегий, и хотя для этого требуется физический доступ к вашему устройству, именно для таких сценариев и предназначена защита от кражи устройств.
Проблемы с настройками конфиденциальности Mail
CVE-2026-20692 показала, что настройки "Скрыть IP-адрес" и "Блокировать весь удаленный контент" могли не применяться ко всем сообщениям. Если вы включили эти функции в Mail, есть вероятность, что ваш IP-адрес не был скрыт от отправителей, а удаленный контент все равно загружался.
Неясно, насколько широко была распространена эта проблема, но молчаливое неработающее функционал - это всегда плохо.
Выход из песочницы через печать
CVE-2026-20688 позволила приложению выйти из своей песочницы через проблему обработки путей в системе печати. Это часть AirPrint, которая позволяет пользователям беспроводной печати.
Выходы из песочницы всегда важны, поскольку они являются критической связкой в цепочках эксплуатации. Как только злоумышленник выходит из песочницы, поверхность атаки значительно увеличивается.
Проблемы с WebKit
Семь CVE и проблема с песочницей. Основные моменты включают обход политики одного источника (CVE-2026-20643), обход политики безопасности контента (CVE-2026-20665) и ошибку, позволяющую вредоносному сайту обрабатывать ограниченный веб-контент вне песочницы (CVE-2026-28859).
Последняя проблема особенно настораживает.
Выводы
Ни одна из этих уязвимостей не была зарегистрирована как активно эксплуатируемая в дикой природе, что является хорошей новостью. Однако серьезность некоторых из них заметна для одного релиза.
Обход защиты от кражи устройств, проблемы с доступом к Keychain и молчаливые сбои настроек конфиденциальности Mail - это не типичные проблемы, с которыми пользователи сталкиваются.
Рекомендуем обновить все ваши устройства до версии 26.4 как можно скорее.
Вы можете ознакомиться с полным списком исправлений для iOS 26.4, macOS 26.4, tvOS 26.4, iPadOS 26.4 и других платформ на странице обновлений безопасности Apple.
