Apple otkrio bezbednosni propust prisutan 20 godina, hitno ažuriranje za milione uređaja

Zero-day ranjivost CVE-2026-20700 zahvatila sve iPhone, iPad, Mac i druge uređaje, ažuriranje iOS 26.3 rešava problem nakon otkrića Google istraživača

Američka tehnološka kompanija Apple objavila je hitno bezbednosno ažuriranje za korisnike iPhone, iPad, Mac, Apple Watch i Apple TV uređaja nakon što je otkrivena zero-day ranjivost, označena kao CVE-2026-20700, koja je postojala u svim verzijama operativnog sistema skoro dve decenije. Prema zvaničnim podacima, bezbednosni propust je omogućavao napadačima da preuzmu potpunu kontrolu nad uređajima, uključujući instalaciju špijunskog softvera, pristup bankarskim aplikacijama, čitanje enkriptovanih poruka i aktiviranje kamere ili mikrofona.

Ranjivost je otkrivena u dyld komponenti (Dynamic Link Editor) koja je deo Apple arhitekture još od 2007. godine, odnosno od prve generacije iPhone telefona. Svi uređaji sa verzijom iOS pre iOS 26 bili su ugroženi, a Apple je problem otklonio unapređenim menadžmentom stanja u verzijama iOS 26.3, iPadOS 26.3, macOS Tahoe 26.3, watchOS 26.3, tvOS 26.3 i visionOS 26.3.

Google Threat Analysis Group (TAG) je identifikovao ranjivost i prijavio je Apple-u. Eksploatacija ovog propusta korišćena je u sofisticiranim napadima na ciljane korisnike, što potvrđuje i Apple u zvaničnom saopštenju. U lanac napada uključene su i dve WebKit ranjivosti (CVE-2025-14174 i CVE-2025-43529) koje su zakrpljene još u decembru 2025. godine, pa korisnici koji nisu izvršili ta ažuriranja i dalje su izloženi potpunom riziku.

Američka agencija za sajber bezbednost i infrastrukturu (CISA) uvrstila je CVE-2026-20700 na listu poznatih iskorišćenih ranjivosti 12. februara 2026. godine i odredila rok za remedijaciju do 5. marta za sve federalne agencije.

Google TAG, koja se bavi praćenjem napada državnih i komercijalnih aktera, navodi da je profil napada usmeren na novinare, aktiviste i političke disidente, što podseća na ranije slučajeve korišćenja špijunskog softvera poput Pegazusa. Apple nije objavio identitet napadača ni razmere kampanje, a tokom 2025. godine kompanija je zakrpila ukupno devet zero-day ranjivosti korišćenih u realnim napadima.

Prema zvaničnim izveštajima, nadogradnja na iOS 26.3 i druge najnovije verzije operativnih sistema je jedini način da korisnici zaštite svoje uređaje. Ovaj slučaj ukazuje na dugoročnu ranjivost u softverskoj arhitekturi Apple uređaja i potrebu za redovnim ažuriranjem, posebno nakon što je propust ostao neotkriven skoro 20 godina.

Source: https://www.ibtimes.com/apple-iphone-spyware-warning-why-millions-must-update-ios-now-after-sophisticated-zero-day-3799637