Apple vészfrissítés: azonnal telepítsd az iOS 26.5.2-t – tucatnyi WebKit-hibát foltoz
Az Apple sürgős biztonsági frissítést adott ki minden nagyobb platformjára: megérkezett az iOS 26.5.2, az iPadOS 26.5.2, a macOS Tahoe 26.5.2 és a Safari 26.5.2. A csomag több tucat sérülékenységet foltoz be, amelyek túlnyomó többsége a böngészők motorját, a WebKitet érinti – vagyis olyan hibákról van szó, amelyek egy rosszindulatú weboldal meglátogatásával is kihasználhatók lennének. Ha iPhone-t, iPadet vagy Macet használsz, érdemes mielőbb frissíteni.
Mit javít a frissítés?
Az Apple a platformjain összesen közel 37 különböző sérülékenységet (CVE-t) orvosolt ezzel a kiadással, ebből az iPhone-okat érintő iOS 26.5.2 önmagában nagyjából 29 biztonsági hibát foltoz be. A javítások döntő része – több mint harminc – a WebKithez és a WebRTC-hez kötődik, tehát azokhoz a rendszerkomponensekhez, amelyek a webes tartalmak megjelenítéséért és a valós idejű kommunikációért felelnek.
Ez azért fontos, mert a WebKit nem csak a Safarit hajtja: az iOS és iPadOS rendszereken gyakorlatilag minden böngésző – így a Chrome vagy a Firefox is – ugyanezt a motort használja a háttérben. Egy WebKit-hiba tehát nem egyetlen alkalmazás problémája, hanem az egész eszközt érinti.
Milyen veszélyekről van szó?
A befoltozott hibák több különböző támadási forgatókönyvet is lehetővé tettek volna:
Adatszivárgás oldalak között (cross-origin): egy rosszindulatú weboldal olyan adatokhoz férhetett volna hozzá egy másik, éppen megnyitott oldalról, amelyekhez semmi köze.
Vágólap-eltérítés: egy preparált oldal a felhasználó tudta nélkül olvashatta vagy módosíthatta a vágólap tartalmát.
Memóriakezelési hibák: „use-after-free" és memóriakorrupciós hibák, amelyek az eszköz váratlan újraindulásához vagy kártékony kód futtatásához vezethetnek.
Homokozóból való kitörés (sandbox escape): néhány WebKit-hiba lehetővé tette volna, hogy a korlátozott webes tartalom kilépjen a védett környezetből – ez a fajta hiba az a „híd", amely egy egyszerű böngészőhibából a rendszer mélyebb rétegeit érintő támadássá válhat.
A kiadás egyik legkomolyabb tétele a kernel szintjén jelentkező hiba (CVE-2026-43724), amely révén egy alkalmazás váratlan rendszerleállást okozhatott vagy a kernel memóriájába írhatott. Emellett több WebKit-sebezhetőséget (például CVE-2026-43725 és CVE-2026-43701) is javítottak, amelyek éppen a fent említett homokozóból való kitörést tették volna lehetővé.
Jó hír: egyik hibát sem használták ki aktívan
Az Apple közlése szerint a mostani csomagban egyetlen olyan sérülékenység sincs, amelyet a javítás megjelenése előtt aktívan kihasználtak volna – vagyis egyik hiba sem minősül úgynevezett zero-day sebezhetőségnek. Ez megnyugtató, ám nem ok a halogatásra: amint egy javítás nyilvánossá válik, a támadók visszafejtik, és igyekeznek működő támadókódot fejleszteni a még nem frissített készülékek ellen. Éppen ezért a frissítés utáni első napok a legkockázatosabbak azok számára, akik kivárnak.
Érdekesség, hogy a mostani körben javított WebKit-hibák egy részét mesterséges intelligenciával támogatott hibakereső eszközök tárták fel – ez jól mutatja, hogyan alakítja át a biztonsági kutatás világát az AI, immár mindkét oldalon.
Hogyan frissíts?
A frissítés minden támogatott iPhone- és iPad-modellre, valamint a kompatibilis Mac gépekre elérhető. A telepítés néhány perc:
iPhone / iPad: Beállítások → Általános → Szoftverfrissítés, majd a „Letöltés és telepítés" gomb.
Mac: Rendszerbeállítások → Általános → Szoftverfrissítés.
A frissítés előtt érdemes biztonsági mentést készíteni, és ha teheted, tölts fel a készüléket vagy csatlakoztasd a hálózati adapterhez, mert a nagyobb rendszerfrissítések telepítése áramot igényel.
Kinek érdemes sietnie?
Mivel a hibák nagy része webes tartalommal aktiválható, gyakorlatilag minden felhasználót érint, aki böngészik a készülékén – tehát szinte mindenkit. Kiemelten fontos a frissítés azoknak, akik nyilvános Wi-Fi-hálózatokat használnak, ismeretlen linkekre kattintanak, vagy érzékeny adatokat (banki, munkahelyi) kezelnek a telefonjukon.
Összességében ez egy klasszikus „telepítsd, amint tudod" típusú frissítés: nem tartalmaz látványos új funkciókat, viszont bezár egy sor olyan biztonsági rést, amely a mindennapi böngészés közben válhatott volna veszélyessé. Néhány perc a telepítés, cserébe jelentősen csökken a kockázat.