Apple закрыла три десятка уязвимостей в iOS, macOS и Safari — часть из них нашёл искусственный интеллект

В понедельник Apple выпустила обновления безопасности для iOS, iPadOS, macOS Tahoe и браузера Safari. Все четыре платформы получили версию 26.5.2. Общее число исправленных уязвимостей перевалило за тридцать, и среди них особняком стоят четыре: их обнаружили не люди, а AI-инструменты — OpenAI Codex Security и Claude от Anthropic.
Такого в официальной документации Apple раньше не бывало. Компания в своих бюллетенях безопасности традиционно перечисляет имена исследователей, которым засчитана находка. На этот раз в списке кредитов появились названия языковых моделей — и это не рекламный ход, а фиксация реального вклада.
Три из четырёх AI-найденных уязвимостей записаны на счёт OpenAI Codex Security. CVE-2026-43707 — проблема повреждения памяти в движке WebKit: при обработке специально сформированного веб-контента процесс неожиданно завершался аварийно. CVE-2026-43716 — неуточнённая проблема, также приводящая к краху Safari при открытии вредоносной страницы. CVE-2026-43745 — запись за пределами выделенного буфера, последствия аналогичные: Safari падает. Все три закрыты улучшенной обработкой памяти и входных данных.
Четвёртая уязвимость, CVE-2026-43715, обнаружена совместно: исследователи Milad Nasr и Nicholas Carlini из Anthropic работали вместе с моделью Claude. Это use-after-free в WebKit — использование уже освобождённой памяти при обработке веб-контента, что ведёт к её повреждению. Исправлено через улучшенное управление памятью.
WebKit — открытый движок браузера, разработанный Apple. Именно на нём работают Safari и, по требованиям App Store, все другие браузеры на iOS. Уязвимости в нём потенциально затрагивают огромную аудиторию, поэтому патчи здесь критически важны. Помимо четырёх AI-найденных, в этом же движке закрыли ещё несколько брешей: CVE-2026-43720 — use-after-free в компоненте WebKit Canvas, и CVE-2026-43725 — уязвимость, позволявшая вредоносному сайту обрабатывать защищённый веб-контент за пределами sandbox.
На уровне ядра ситуация тоже неспокойная. Исследователь Hyunwoo Kim, известный в профессиональных кругах по находке уязвимости Dirty Frag, сообщил о двух проблемах. CVE-2026-43722 позволяла вредоносному приложению утечь чувствительное состояние ядра. CVE-2026-43724 при определённых условиях могла привести к неожиданному завершению работы системы или записи в память ядра. Отдельно исправлена CVE-2026-39868, способная повреждать память ядра.
Ни одна из закрытых уязвимостей на момент публикации обновлений не эксплуатировалась в реальных атаках. Это важный момент: патчи вышли на упреждение, а не в ответ на уже случившиеся инциденты.
Появление AI-инструментов в качестве официально признанных участников поиска уязвимостей — это сдвиг в том, как устроена индустрия безопасности. OpenAI и Anthropic двигаются в сторону практического применения своих моделей для аудита кода, и кредиты от Apple в официальном бюллетене — это документальное подтверждение того, что подход работает.


Новое на сайте

Ссылка