Штучний інтелект Big Sleep від Google допоміг компанії Apple знайти критичні вразливості в WebKit — рушії браузера Safari. Експлуатація цих вад могла призвести до аварійного завершення роботи браузера або пошкодження пам’яті.

Компанія Apple визнала внесок штучного інтелекту Google Big Sleep у виявлення п’яти вразливостей у компоненті WebKit, який забезпечує роботу браузера Safari. Усі виявлені проблеми безпеки вже усунуто в останніх оновленнях.

Виявлені вразливості

CVE-2025-43429 — переповнення буфера, що може спричинити несподіване завершення процесу під час обробки шкідливого вебвмісту. Проблему усунуто покращеною перевіркою меж.

CVE-2025-43430 — неуточнена вразливість, яка призводить до аварійного завершення процесу. Виправлено через покращене керування станом.

CVE-2025-43431 та CVE-2025-43433 — дві вразливості, що можуть спричинити пошкодження пам’яті при обробці шкідливого контенту. Усунуто через оптимізацію роботи з пам’яттю.

CVE-2025-43434 — вразливість типу use-after-free, яка може призвести до краху Safari. Виправлено покращеним керуванням станом.

Хоча конкретні технічні деталі уразливостей не розголошуються з міркувань безпеки, відомо, що вони стосувалися обробки JavaScript та могли потенційно дозволити віддалене виконання коду. Такі типи уразливостей особливо небезпечні, оскільки можуть бути експлуатовані через шкідливі веб-сторінки без будь-якої взаємодії з боку користувача.

Які пристрої потребують оновлення

Apple випустила виправлення у понеділок у складі оновлень iOS 26.1, iPadOS 26.1, macOS Tahoe 26.1, tvOS 26.1, watchOS 26.1, visionOS 26.1 та Safari 26.1. Ось детальний перелік доступних версій і сумісних пристроїв:

iOS 26.1 та iPadOS 26.1:

• iPhone 11 і новіші моделі
• iPad Pro 12,9″ (3-го покоління і новіші)
• iPad Pro 11″ (1-го покоління і новіші)
• iPad Air (3-го покоління і новіші)
• iPad (8-го покоління і новіші)
• iPad mini (5-го покоління і новіші)

iOS 18.7.2 та iPadOS 18.7.2 (для старіших пристроїв):

• iPhone XS і новіші моделі
• iPad Pro 13″
• iPad Pro 12,9″ (3-го покоління і новіші)
• iPad Pro 11″ (1-го покоління і новіші)
• iPad Air (3-го покоління і новіші)
• iPad (7-го покоління і новіші)
• iPad mini (5-го покоління і новіші)

macOS Tahoe 26.1: Усі комп’ютери Mac із встановленою macOS Tahoe

tvOS 26.1: Apple TV 4K (2-го покоління і новіші)

visionOS 26.1: Apple Vision Pro (усі моделі)

watchOS 26.1: Apple Watch Series 6 і новіші моделі

Safari 26.1: Комп’ютери Mac із macOS Sonoma або macOS Sequoia

Експерти з кібербезпеки радять встановити оновлення якнайшвидше, навіть попри відсутність відомостей про експлуатацію цих вразливостей у реальних атаках.

Що таке Big Sleep

Big Sleep (раніше — Project Naptime) представляє собою передовий кібербезпековий агент, розроблений командою Google DeepMind у співпраці з Google Project Zero. Цей ШІ-інструмент використовує великі мовні моделі для автоматизованого пошуку уразливостей у програмному забезпеченні, що значно прискорює процес виявлення потенційних загроз безпеки.

Особливістю Big Sleep є його здатність аналізувати вихідний код та виявляти складні уразливості, які можуть залишитися непоміченими під час традиційних методів тестування. Система може працювати цілодобово, сканувати великі обсяги коду та ідентифікувати потенційні проблеми безпеки з високою точністю.

Раніше цього року Big Sleep виявив критичну вразливість у SQLite (CVE-2025-6965, оцінка CVSS: 7,2), яку, за словами Google, могли експлуатувати зловмисники.

Жодну з перелічених вразливостей не використовували в реальних атаках, проте експерти радять якнайшвидше встановити оновлення для надійного захисту пристроїв.

Співпраця між Google та Apple

Виявлення цих уразливостей демонструє ефективність співпраці між технологічними гігантами у сфері кібербезпеки. Незважаючи на конкуренцію між Google Chrome та Apple Safari, обидві компанії активно співпрацюють для покращення загальної безпеки веб-екосистеми.

Google Project Zero, відома своїм принципом відповідального розкриття уразливостей, надала Apple достатньо часу для розробки та випуску виправлень перед публічним оголошенням про виявлені проблеми. Цей підхід забезпечує захист користувачів та дає розробникам можливість усунути уразливості до їх потенційної експлуатації.

Вплив ШІ на майбутнє кібербезпеки

Успіх Big Sleep у виявленні уразливостей Safari підкреслює зростаючу роль штучного інтелекту в галузі кібербезпеки. ШІ-системи можуть обробляти набагато більші обсяги коду, ніж людські аналітики, та виявляти складні патерни, які можуть вказувати на потенційні уразливості.

Традиційні методи пошуку уразливостей, такі як ручний аудит коду та автоматизоване тестування, часто вимагають значних ресурсів та часу. ШІ-агенти, як Big Sleep, можуть значно скоротити цей процес та підвищити ефективність виявлення загроз безпеки.

Рекомендації для користувачів Safari

Користувачам Safari настійно рекомендується негайно оновити свої браузери до найновішої версії, щоб забезпечити захист від виявлених уразливостей. Apple зазвичай випускає оновлення безпеки через механізм автоматичного оновлення, але користувачі можуть перевірити наявність оновлень вручну.

Для перевірки версії Safari на macOS потрібно відкрити браузер та перейти до меню Safari > Про Safari. На iOS оновлення Safari включені в загальні оновлення системи, які можна перевірити в Налаштуваннях > Загальні > Оновлення ПЗ.

Перспективи розвитку ШІ-безпеки

Досягнення Big Sleep відкривають нові можливості для використання штучного інтелекту в кібербезпеці. Очікується, що подібні ШІ-системи стануть стандартним інструментом для великих технологічних компаній у процесі розробки та тестування програмного забезпечення.

Експерти прогнозують, що в найближчому майбутньому ШІ-агенти зможуть не лише виявляти уразливості, але й автоматично генерувати виправлення для них. Це може революціонізувати підхід до забезпечення безпеки програмного забезпечення та значно скоротити час між виявленням та усуненням загроз.

Водночас важливо пам’ятати, що зловмисники також можуть використовувати ШІ для пошуку та експлуатації уразливостей. Це створює своєрідну “гонку озброєнь” між захисниками та атакуючими, де перемога залежатиме від того, хто швидше та ефективніше використовуватиме можливості штучного інтелекту.

Ця стаття ШІ Google виявив 5 нових уразливостей у Safari: що потрібно знати користувачам Apple раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Apple виправила уразливість нульового дня в macOS, що використовувалася для зараження шкідливим програмним забезпеченням Shlayer. Завдяки їй шкідник міг обійти перевірку безпеки File Quarantine, Gatekeeper та Notarization та завантажити шкідливі корисні навантаження другого ступеня.

Автори Shlayer раніше встигали завантажити свої зловмисні навантаження за допомогою автоматизованого процесу нотаріального засвідчення від Apple. Якщо вони проходять цю автоматизовану перевірку безпеки, запуск додатків macOS дозволяються Gatekeeper – функцією захисту macOS, яка перевіряє, чи завантажувані програми перевірялись на наявність відомого шкідливого вмісту – для запуску в системі. У минулому Shlayer також використовував прийоми дворічної давнини для ескалації привілеїв та відключення Gatekeeper в macOS для запуску непідписаних корисних навантажень другого ступеня в кампанії. Про це повідомив Bleeping Computer.

Ця уразливість експлуатується в реальності для розгортання різних шкідливих програм на MacOS. Команда виявлення Jamf Protect виявила, що починаючи з січня 2021 р. автори загрози Shlayer, створені непідписаними та ненотаріально завіреними зразками Shlayer, почали використовувати уразливість нульового дня (відстежується як CVE-2021-30657), виявлену та повідомлену Apple інженером з безпеки Седріком Оуенсом.

Як виявив дослідник безпеки Патрік Уордл, ця ​​помилка використовує логічний недолік у тому, як Gatekeeper перевіряв, чи були пакети додатків нотаріально завірені для роботи на повністю виправлених системах macOS.

Уордл додав, що “ця вада може призвести до неправильної класифікації певних програм і, отже, призведе до того, що механізм політики пропустить важливу логіку безпеки, таку як попередження користувача та блокування ненадійної програми”.

На відміну від попередніх варіантів, які вимагали, щоб жертви натискали правою кнопкою миші, а потім відкривали сценарій програми встановлення, останні варіанти шкідливого програмного забезпечення, що зловживають цим нульовим днем ​​і розповсюджуються за допомогою підроблених результатів пошукової системи та скомпрометованих веб-сайтів, можна запускати подвійним клацанням – як звичайний файл або додаток.

Apple випустила оновлення безпеки, щоб виправити цю уразливість у macOS Big Sur 11.3 та заблокувати зловмисні кампанії, які активно зловживають нею. Тепер користувачі отримують попередження про те, що шкідливі програми “не можна відкривати, оскільки розробника неможливо ідентифікувати”, і рекомендують вийняти змонтований образ диска, оскільки він може містити шкідливе програмне забезпечення.

Shlayer – це багатоступеневий троян, який атакував понад 10% усіх комп’ютерів Mac. Дослідницька група Intego вперше помітила Shlayer у лютому 2018 року у зловмисній програмі, яка імітувала інсталятор Adobe Flash Player, так само, як багато інших шкідливих програм, націлених на користувачів macOS. На відміну від оригінальних варіантів, які просувались через торент-сайти, нові зразки Shlayer тепер розповсюджуються за допомогою підроблених спливаючих вікон, що відображаються у захоплених доменах або клонах сайтів, або в масштабних кампаніях з рекламою, яка захаращує нормальні веб-сайти.

Після зараження Mac, Shlayer встановлює проксі-програму mitmdump і надійний сертифікат для аналізу та модифікації трафіку HTTPS, дозволяючи йому контролювати трафік браузера жертв або вводити рекламу та шкідливі сценарії на відвідувані сайти. Навіть гірше, цей метод дозволяє зловмисному програмному забезпеченню змінювати зашифрований трафік, наприклад, Інтернет-банкінг та безпечну електронну пошту.

Хоча автори Shlayer в цей час розгортають лише рекламне програмне забезпечення як вторинне корисне навантаження, вони можуть швидко перейти на більш небезпечні корисні навантаження, такі як програми-вимагачі, у будь-який час. Зокрема, ще одна чергова помилка нульового дня WebKit Storage, яка експлуатується в реальності, відслідковується як CVE-2021-30661, і впливає на пристрої iOS і watchOS,  втручаючись в управління пам’яттю. Уразливість дозволяє зловмисникам виконувати довільний код після відкриття заражених сайтів на пристроях користувачів .

Список уражених пристроїв включає:

• Apple Watch Series 3 та новіших версій;
• iPhone 6s та новіші версії;
• iPad Pro (усі моделі);
• iPad Air 2 та новіші версії;
• iPad 5-го та новішого покоління;
• iPad mini 4 та новіші версії;
• iPod touch (7-го покоління).

Загалом, завдяки сьогоднішнім оновленням безпеки для помилок macOS та iOS, які використовуються в природі, Apple вирішила дев’ять нульових днів з листопада.

Компанія виправила ще три нульові дні iOS – помилку віддаленого виконання коду (CVE-2020-27930), витік пам’яті ядра (CVE-2020-27950) та недолік ескалації привілеїв ядра (CVE-2020-27932) – впливає пристрої iPhone, iPad та iPod (виправлено у листопаді минулого року). У січні Apple виправила помилку в ядрі iOS (відстежується як CVE-2021-1782) та два недоліки безпеки WebKit (відслідковується як CVE-2021-1870 та CVE-2021-1871).

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.

Ця стаття Apple виправила уразливість, яку використовував шкідник Shlayer раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Програмний движок WebKit, який використовують у браузерах, має кілька уразливих місць. Слабкі місця можна використати для віддаленого виконання коду, переконавши цільового користувача відвідати шкідливий веб-сайт.

WebKit – це движок з відкритим кодом, який використовується у Safari та іншими продуктами Apple, а також багатьма іншими програмами для macOS, iOS та Linux.

Нещодавно аналітична та дослідницька група з розслідування загроз Cisco Talos показала, що один з її дослідників виявив кілька уразливих місць, які можна використати для віддаленого виконання коду, направивши цільового користувача для доступу до спеціально створеної веб-сторінки при користуванні браузером, який використовує WebKit, повідомляє SecurityWeek.

Уразливі місця пов’язані з функціональністю компонентів WebSocket, AudioSourceProviderGStreamer та ImageDecoderGStreamer WebKit.

За словами співробітників групи, про недоліки у захисті двигуна було повідомлено цієї осені, і вони були виправлені на початку цього місяця. Ідентифікатори вразливостей позначені як CVE-2020-13584, CVE-2020-13558 та CVE-2020-13543.

У рекомендації, опублікованій минулого тижня розробниками WebKitGTK, повнофункціонального порту WebKit та WPE, реалізації WebKit для вбудованих пристроїв та пристроїв з низьким споживанням, згадуються дві уразливості виконання коду, виявлені Talos – одна, розкрита зараз та одна, розкрита у вересні – а також кілька вразливостей, про які повідомляли інші дослідники.

Група Talos опублікувала докладні технічні рекомендації щодо кожної уразливості, і компанія Cisco надала клієнтам правила SNORT, щоб допомогти  виявити спроби експлуатації.

Apple, у продуктах якої активно використовується WebKit, очевидно, виправить останні вразливості  у майбутніх оновленнях програмного забезпечення.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття У движку програмних продуктів Apple виявили уразливості раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Довгоочікуване оновлення Apple iOS 14 має багато нових цікавих функцій для користувачів iPhone, а також оновлення операційної системи усуває 11 уразливих місць безпеки Вашого пристрою.

11 помилок безпеки, виправлені в iOS 14, охоплюють Apple Keyboard, Assets, WebKit, Siri, Apple AVD та Sandbox, деякі з них досить серйозні.

Проблеми безпеки, виправлені в iOS 14

Проблема, виправлена ​​в моделі вводу-виводу, могла призвести до довільного виконання коду під час обробки зловмисно створеного файлу USD. Так само уразливість “sandbox” дозволяла зловмисним програмам отримувати доступ до обмежених файлів. Помилка Siri – це проблема блокування екрану, яка дозволяла доступ до повідомлень на заблокованому пристрої. Також була виправлена уразливість ​​в WebKit, при якій обробка зловмисно створеного веб-вмісту могла призвести до атаки.

Наскільки важливо оновити iPhone до iOS 14?

Було виправлено чимало помилок безпеки, але чи варто терміново встановлювати нову версію iOS? Незважаючи на те, що деякі проблеми, виправлені в iOS 14, є серйозними, їх важко застосувати проти користувачів – іншими словами, зловмиснику буде важко здійснити атаку, оскільки потрібно виконати певні умови.

“Хоча ці проблеми безпеки викликають занепокоєння – будь-яка уразливість, що дозволяє віддалене виконання коду, є ризикованою, також виконання відповідних експлойтів досить важка задача, оскільки для відкриття спеціально створеного файлу потрібен або фізичний доступ, або соціальна інженерія” – пояснює Шон Райт, керівник служби безпеки додатків в Immersive Labs.

Тому, як підкреслює Райт, ці недоліки не повинні представляти загрозу, якщо Ви дотримуєтесь основних правил безпеки. Наприклад, слід встановлювати програми через App Store, а не через вкладення від невідомих відправників. Окрім захисту від помилок безпеки, iOS 14 має чимало нових функцій безпеки та конфіденційності, які можна використовувати для захисту Вашого iPhone.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як обмежити перегляд небажаного контенту для дітей у TikTok? Поради для батьків

Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ

Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ

Як скопіювати файли на USB-накопичувач на Chromebook? – ІНСТРУКЦІЯ

Нагадаємо, виявили нову шпигунську кампанію проти користувачів Android, в рамках якої зловмисники поширюють “Pro-версію” TikTok. Шкідливе ПЗ здатне захоплювати контроль над базовими функціями пристрою – робити фотографії, читати і відправляти SMS-повідомлення, здійснювати телефонні дзвінки і запускати додатки.

Також співробітники компанії Facebook вручну переглядають запити на розкриття інформації користувачів, не перевіряючи електронні адреси тих, хто запитує доступ до порталів, призначених виключно для співробітників правоохоронних органів. Іншими словами, будь-хто, у кого є електронна адреса, може отримати доступ до порталів, де правоохоронні органи запитують дані про користувачів Facebook і WhatsApp.

З’явилася офіційно ОС Android 11, яка розповсюджується серед компаній-виробників смартфонів та розробників Android. Остання версія мобільної ОС Google фокусується на трьох ключових темах – людське життя, елементи керування та конфіденційність – і робить їх більш помітними на Вашому смартфоні.

Фахівці Колумбійського університету провели дослідження на предмет безпеки Android-додатків, і 306 додатків містили серйозні криптографічні уразливості. Найпоширенішими проблемами опинилися використання небезпечного генератора псевдовипадкових чисел, непрацюючі хеш-функції, використання режиму роботи CBC, повторне використання паролів (в тому числі ненадійних) тощо.

Уразливість BLURtooth можуть використовувати хакери для перезапису ключів аутентифікації Bluetooth. За допомогою уразливості BLURtooth зловмисник може маніпулювати компонентом CTKD для перезапису ключів аутентифікації Bluetooth і таким чином отримати доступ до підтримуючих Bluetooth сервісів і додатків на тому ж пристрої.

Ця стаття iOS 14 виправляє 11 помилок безпеки на Вашому iPhone раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин