Apple vészfrissítés: azonnal telepítsd az iOS 26.5.2-t – tucatnyi WebKit-hibát foltoz

Apple vészfrissítés: azonnal telepítsd az iOS 26.5.2-t – tucatnyi WebKit-hibát foltoz

Az Apple sürgős biztonsági frissítést adott ki minden nagyobb platformjára: megérkezett az iOS 26.5.2, az iPadOS 26.5.2, a macOS Tahoe 26.5.2 és a Safari 26.5.2. A csomag több tucat sérülékenységet foltoz be, amelyek túlnyomó többsége a böngészők motorját, a WebKitet érinti – vagyis olyan hibákról van szó, amelyek egy rosszindulatú weboldal meglátogatásával is kihasználhatók lennének. Ha iPhone-t, iPadet vagy Macet használsz, érdemes mielőbb frissíteni.

Mit javít a frissítés?

Az Apple a platformjain összesen közel 37 különböző sérülékenységet (CVE-t) orvosolt ezzel a kiadással, ebből az iPhone-okat érintő iOS 26.5.2 önmagában nagyjából 29 biztonsági hibát foltoz be. A javítások döntő része – több mint harminc – a WebKithez és a WebRTC-hez kötődik, tehát azokhoz a rendszerkomponensekhez, amelyek a webes tartalmak megjelenítéséért és a valós idejű kommunikációért felelnek.

Ez azért fontos, mert a WebKit nem csak a Safarit hajtja: az iOS és iPadOS rendszereken gyakorlatilag minden böngésző – így a Chrome vagy a Firefox is – ugyanezt a motort használja a háttérben. Egy WebKit-hiba tehát nem egyetlen alkalmazás problémája, hanem az egész eszközt érinti.

Milyen veszélyekről van szó?

A befoltozott hibák több különböző támadási forgatókönyvet is lehetővé tettek volna:

  • Adatszivárgás oldalak között (cross-origin): egy rosszindulatú weboldal olyan adatokhoz férhetett volna hozzá egy másik, éppen megnyitott oldalról, amelyekhez semmi köze.

  • Vágólap-eltérítés: egy preparált oldal a felhasználó tudta nélkül olvashatta vagy módosíthatta a vágólap tartalmát.

  • Memóriakezelési hibák: „use-after-free" és memóriakorrupciós hibák, amelyek az eszköz váratlan újraindulásához vagy kártékony kód futtatásához vezethetnek.

  • Homokozóból való kitörés (sandbox escape): néhány WebKit-hiba lehetővé tette volna, hogy a korlátozott webes tartalom kilépjen a védett környezetből – ez a fajta hiba az a „híd", amely egy egyszerű böngészőhibából a rendszer mélyebb rétegeit érintő támadássá válhat.

A kiadás egyik legkomolyabb tétele a kernel szintjén jelentkező hiba (CVE-2026-43724), amely révén egy alkalmazás váratlan rendszerleállást okozhatott vagy a kernel memóriájába írhatott. Emellett több WebKit-sebezhetőséget (például CVE-2026-43725 és CVE-2026-43701) is javítottak, amelyek éppen a fent említett homokozóból való kitörést tették volna lehetővé.

Jó hír: egyik hibát sem használták ki aktívan

Az Apple közlése szerint a mostani csomagban egyetlen olyan sérülékenység sincs, amelyet a javítás megjelenése előtt aktívan kihasználtak volna – vagyis egyik hiba sem minősül úgynevezett zero-day sebezhetőségnek. Ez megnyugtató, ám nem ok a halogatásra: amint egy javítás nyilvánossá válik, a támadók visszafejtik, és igyekeznek működő támadókódot fejleszteni a még nem frissített készülékek ellen. Éppen ezért a frissítés utáni első napok a legkockázatosabbak azok számára, akik kivárnak.

Érdekesség, hogy a mostani körben javított WebKit-hibák egy részét mesterséges intelligenciával támogatott hibakereső eszközök tárták fel – ez jól mutatja, hogyan alakítja át a biztonsági kutatás világát az AI, immár mindkét oldalon.

Hogyan frissíts?

A frissítés minden támogatott iPhone- és iPad-modellre, valamint a kompatibilis Mac gépekre elérhető. A telepítés néhány perc:

  • iPhone / iPad: Beállítások → Általános → Szoftverfrissítés, majd a „Letöltés és telepítés" gomb.

  • Mac: Rendszerbeállítások → Általános → Szoftverfrissítés.

A frissítés előtt érdemes biztonsági mentést készíteni, és ha teheted, tölts fel a készüléket vagy csatlakoztasd a hálózati adapterhez, mert a nagyobb rendszerfrissítések telepítése áramot igényel.

Kinek érdemes sietnie?

Mivel a hibák nagy része webes tartalommal aktiválható, gyakorlatilag minden felhasználót érint, aki böngészik a készülékén – tehát szinte mindenkit. Kiemelten fontos a frissítés azoknak, akik nyilvános Wi-Fi-hálózatokat használnak, ismeretlen linkekre kattintanak, vagy érzékeny adatokat (banki, munkahelyi) kezelnek a telefonjukon.

Összességében ez egy klasszikus „telepítsd, amint tudod" típusú frissítés: nem tartalmaz látványos új funkciókat, viszont bezár egy sor olyan biztonsági rést, amely a mindennapi böngészés közben válhatott volna veszélyessé. Néhány perc a telepítés, cserébe jelentősen csökken a kockázat.

0 hozzászólások

A hozzászóláshoz kérjük, jelentkezz be.