Mi történt
Az Apple kiadta az iOS, iPadOS és macOS 26.5.2 verziót, amely összesen 29 biztonsági sebezhetőséget foltoz be. A frissítés telepítése a szokásos útvonalon érhető el: Beállítások / Rendszerbeállítások → Általános → Szoftverfrissítés.A javítások egy része az operációs rendszer „magjában” (kernel) lévő hibákat érinti. A többség viszont a WebKithez kapcsolódik. A WebKit az Apple böngészőmotorja: gondolj rá úgy, mint arra a „motorblokkra”, ami a weboldalak megjelenítését végzi. Nemcsak a Safariban dolgozik, hanem sok alkalmazásban is, amikor egy linket megnyitsz egy beépített webnézetben.
Fontos részlet: a 29 hiba között nincs olyan, amelyről tudni lehetne, hogy már aktívan kihasználják (nem „nulladik napi”, azaz zero-day támadásról van szó). Mégis sietősnek tűnik a kiadás — részben azért, mert a sebezhetőségek a javítás publikálásával gyorsan „tananyaggá” válnak a támadóknak.
Miért fontos
A WebKit-hibák jellegükből adódóan sokszor elég annyi, hogy betölts egy rosszindulatú webes tartalmat: egy manipulált oldal, egy reklám, vagy egy link, amit valamilyen appban nyitsz meg. Ilyenkor tipikus kockázat a kártékony kód futtatása, adatlopás vagy más jogosulatlan művelet — nem feltétlenül látványos „feltörték a telefonom” helyzet, inkább csendes kompromittálás.A mostani frissítés azért is érdekes, mert a javítások már benne voltak a 26.6-os béta verziókban, vagyis eredetileg valószínűleg a következő nagyobb körrel érkeztek volna (várhatóan július eleje–közepe táján). Ehhez képest az Apple előrehozta őket. A Reutersnek adott vállalati indoklás lényege: az AI-alapú eszközök felgyorsítják a támadók munkáját, ezért csökkenteni kell az időt a hibák felismerése és a széles körű javítás kiadása között.
Mire figyelj
- Ne csak a Safarira gondolj: a WebKit sok appban „ott van a háttérben”, ezért a kockázat nem attól függ, hogy böngészel-e.
- Frissíts minden Apple-eszközt: iPhone, iPad, Mac — a vegyesen frissített környezetben könnyebb „lyukat” találni.
- Számíts gyakoribb, kisebb frissítésekre: a Jamf szakértője, Adam Boynton arra számít, hogy a nagy funkciócsomagokhoz kötött javítási ritmus lazul, és inkább sűrűbb, célzottabb patch-ek jönnek — mert a kihasználhatósági ablak egyre rövidebb.
A gyakorlati tanulság egyszerű: ha biztonsági frissítés jön, a „majd később” egyre kevésbé jó stratégia, még akkor sem, ha épp nincs hír aktív támadásról.
