| 25 марта 2026 г. — 18:17 PT
9to5Mac Security Bite эксклюзивно предоставлен Mosyle, единственной унифицированной платформой Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения безопасности для Apple, обеспечивающие полностью автоматизированное усиление защиты и соответствие требованиям, EDR следующего поколения, основанный на ИИ нулевой доверие и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. Результатом является полностью автоматизированная унифицированная платформа Apple, которой доверяют более 45 000 организаций для беспрепятственной и доступной подготовки к работе миллионов устройств Apple. Запросите свой РАСШИРЕННЫЙ ТЕСТ-ДРАЙВ сегодня и узнайте, почему Mosyle — это все, что вам нужно для работы с Apple.
Во вторник, вместе с широким выпуском iOS 26.4, который до этого находился в бета-версии, Apple выпустила внушительный список исправлений безопасности , устраняющих более 35 уязвимостей. Хотя большинство точечных выпусков обычно содержат большое количество исправлений, здесь есть несколько примечательных, на которые я хочу обратить ваше внимание.
Вот те, которые привлекли мое внимание.
О Security Bite: Еженедельная колонка Security Bite и двухнедельный подкаст — это глубокое погружение в постоянно развивающийся мир безопасности Apple. Arin Waichulis — специалист по ИТ с образованием и писатель по вопросам безопасности, работающий в 9to5Mac уже третий год. Здесь Arin разбирает самые важные заголовки, влияющие на конфиденциальность и безопасность, чтобы вы могли быть лучше информированы.
Обход защиты от кражи устройства
Это самое главное. Уязвимость (CVE-2026-28895) позволяла злоумышленнику, имеющему физический доступ к iPhone, обойти защищенные биометрическими данными приложения, используя только пароль, даже при включенной функции защиты от кражи устройства. Это означает, что к приложениям, защищенным опцией «Требовать Face ID», которую пользователи могут включить, длительно нажав на значок приложения, все равно можно было получить доступ, используя только пароль устройства.
Если вы следили за Security Bite, я недавно разбирал новые изменения в защите от кражи устройства в феврале. Одно из них — Apple теперь включает эту функцию по умолчанию в iOS 26.4.
Вся суть защиты от кражи устройства заключается в ее названии. Она предназначена для того, чтобы украденный iPhone был бесполезен, даже если у вора есть ваш пароль.
Обход, подобный описанному выше, полностью подрывает предпосылку этой функции. Apple утверждает, что исправление включало улучшенные проверки, и проблема теперь устранена.
Если вас интересует, как появилась защита от кражи устройства, вот предыстория.
Локальный злоумышленник мог получить доступ к вашему Keychain
CVE-2026-28864 — еще одна уязвимость, которая кажется мне интересной. Деталей не так много, но, по словам Apple, локальный злоумышленник мог получить доступ к элементам Keychain из-за недостаточной проверки разрешений.
Ваш Keychain хранит пароли, ключи шифрования, токены и многое другое. Сбой здесь — это довольно серьезное локальное повышение привилегий, и хотя он требует, чтобы кто-то физически держал ваше устройство в руках, это именно тот сценарий, для которого предназначена защита от кражи устройства.
Настройки конфиденциальности Mail могли не работать…
CVE-2026-20692 выявила, что «Скрыть IP-адрес» и «Блокировать весь удаленный контент» могли не применяться ко всему контенту электронной почты. Так что, если у вас были включены эти параметры в Mail, есть вероятность, что ваш IP-адрес не скрывался от отправителей, а удаленная загрузка контента продолжала проходить.
Неясно, насколько широко распространена была эта проблема, но молчаливо неработающие функции — это никогда не хорошо.
Побег из песочницы через печать
CVE-2026-20688 позволяла приложению выйти из своей песочницы через проблему обработки пути во фреймворке печати. Это часть AirPrint, которая позволяет пользователям беспроводным способом печатать документы.
Побеги из песочницы всегда примечательны, поскольку они являются критическим звеном в цепочках эксплойтов. Как только вы вышли из песочницы, поверхность атаки значительно расширяется.
Плохой месяц для WebKit
Семь CVE, плюс проблема с песочницей. Среди наиболее важных — обход политики единого источника (CVE-2026-20643), обход политики безопасности содержимого (CVE-2026-20665) и ошибка, которая позволила вредоносному веб-сайту обрабатывать ограниченный веб-контент вне песочницы (CVE-2026-28859).
Последнее особенно вызывает беспокойство.
Вывод
Ни одна из этих уязвимостей не указана как активно эксплуатируемая в реальных условиях, что является хорошей новостью. Но серьезность некоторых из них примечательна для точечного выпуска.
Обход защиты от кражи устройства, проблемы с доступом к Keychain и молчаливо сбоящие настройки конфиденциальности Mail — это не те обычные проблемы, с которыми обычно сталкиваются пользователи.
Я рекомендую обновить все ваши устройства до версии 26.4 как можно скорее.
Полный список исправлений для iOS 26.4, macOS 26.4, tvOS 26.4, iPadOS 26.4 и других платформ вы можете найти на странице выпусков безопасности Apple.
Следите за Arin Waichulis: LinkedIn, Threads, X
Подпишитесь на подкаст 9to5Mac Security Bite Podcast для двухнедельных глубоких погружений и интервью с ведущими исследователями и экспертами по безопасности Apple: