Apple julkaisi hätäpäivityksen iOS 26.2:een WebKit-haavoittuvuuksiin

Apple julkaisi hätäpäivityksen iOS 26.2:een, paikaten kaksi vaarallista haavoittuvuutta, joita oli jo hyödynnetty kohdennetuissa hyökkäyksissä. Yhtiön mukaan kyse oli erittäin kehittyneistä tunkeutumisista, jotka kohdistuivat rajattuun käyttäjäjoukkoon ja liittyivät vakoiluohjelmiin — ei massiiviseen tietojen tai rahojen varastamiseen.

Molemmat heikkoudet sijaitsivat WebKitissä — moottorissa, joka pyörittää Safaria ja iPhonessa sekä iPadissa myös kaikkia kolmannen osapuolen selaimia. Käytännössä pelkkä haitallisen verkkosivun avaaminen saattoi riittää hyökkäyksen laukaisemiseen. Apple kertoo, että CVE-2025-43529 ja CVE-2025-14174 olivat osa samaa hyökkäysketjua.

Ensimmäinen haavoittuvuus mahdollisti mielivaltaisen koodin suorittamisen laitteessa WebKitin virheellisen muistinkäsittelyn vuoksi. Toinen, jonka tunnistamisessa tehtiin yhteistyötä Googlen Threat Analysis Groupin kanssa, koski sekin selaimen moottorin toimintaa. Apple sanoo korjanneensa ongelmat tiukentamalla muistinhallintaa ja lisäämällä ylimääräisiä tarkistuksia, mutta jättää tarkemmat tekniset yksityiskohdat kertomatta, ettei hyökkääjille tarjota käyttöohjekirjaa.

Paikkaukset julkaistiin läpi Apple-ekosysteemin: iOS- ja iPadOS-versioihin, macOS:ään, watchOS:ään, tvOS:ään, visionOS:ään sekä Safarille. Koska iOS vaatii kaikkia selaimia käyttämään WebKitiä, altistus koski myös Chromea ja muita vaihtoehtoja iPhonessa. Tämä muistuttaa, kuinka ratkaiseva yksi moottori on koko alustan turvallisuudelle.

Apple kehottaa asentamaan päivitykset viipymättä ja huomauttaa, että nollapäiväkampanjat iskevät tyypillisesti ensin laitteisiin, joissa on vanhentunut ohjelmisto. Yhtiö viittaa lisäksi Lockdown Mode -tilaan niille, joihin voi kohdistua suunnattuja hyökkäyksiä, ja neuvoo seuraamaan epätavallista käytöstä — ylikuumenemista, äkillistä akun kulumista tai Safarin häiriöitä. Viesti on käytännönläheinen: päivitä heti ja jätä hyökkääjille vähemmän tilaisuuksia.