Apple выпустила критическое обновление iOS 18.7.7: защита от эксплойта DarkSword

Компания Apple только что сделала важный шаг для безопасности миллионов пользователей iPhone и iPad, которые продолжают работать на iOS 18. Вчера, 1 апреля 2026 года, обновление iOS 18.7.7 (и соответствующее iPadOS 18.7.7) стало доступно значительно большему числу устройств. Это не рядовой релиз с новыми функциями, а целенаправленный экстренный патч, устраняющий серьёзную цепочку уязвимостей, известную под названием DarkSword.

DarkSword — это мощный эксплойт-кит, обнаруженный Google Threat Intelligence Group в марте 2026 года. Он способен полностью компрометировать устройство через обычный браузер Safari без каких-либо действий пользователя, кроме посещения заражённого сайта (так называемые watering hole-атаки). Эксплойт поддерживает версии iOS с 18.4 по 18.7 и использует сразу шесть уязвимостей нулевого дня, выстроенных в сложную цепочку.

Технически процесс выглядит так: сначала через WebKit и jаvascriptCore происходит удалённое выполнение кода (RCE). Для версий до 18.6 применяется ошибка типа confusion в JIT-компиляторе (CVE-2025-31277), а для 18.6–18.7 — баг в сборке мусора в слое Data Flow Graph (CVE-2025-43529). Далее следует обход Pointer Authentication Code (PAC) в dyld (CVE-2026-20700), что даёт произвольное чтение и запись памяти. Затем — два этапа выхода из песочницы: сначала из процесса WebContent в GPU-процесс через уязвимость в графической библиотеке ANGLE (CVE-2025-14174, out-of-bounds запись), а потом из GPU в сервис mediaplaybackd с помощью ошибки управления памятью в ядре XNU (CVE-2025-43510). Финальный этап — повышение привилегий до уровня ядра через race condition в виртуальной файловой системе XNU (CVE-2025-43520).

После успешной атаки на устройство устанавливается один из трёх вредоносных payload’ов: GHOSTBLADE (датамайнер, крадущий данные из iMessage, Telegram, криптокошельков, заметок и истории местоположения), GHOSTKNIFE или GHOSTSABER (бэкдоры с возможностью записи экрана, прослушки микрофона и выполнения произвольного jаvascript). Всё происходит быстро: вредоносное ПО собирает информацию и самоуничтожается, оставляя минимум следов.

Ранее Apple уже закрыла эти уязвимости в обновлениях iOS 18.7.3 и более новых версиях iOS 26, но пользователи, сознательно оставшиеся на iOS 18 (например, из-за совместимости приложений или нежелания менять интерфейс), оставались под угрозой. Теперь iOS 18.7.7 переносит все необходимые исправления на «старую» ветку системы. Обновление вышло 24 марта, а 1 апреля Apple расширила его доступность, чтобы владельцы с включёнными автоматическими обновлениями получили защиту без лишних действий.

Установка доступна по воздуху (OTA) для всех совместимых устройств: iPhone XR и новее, включая всю линейку до iPhone 16, а также широкий спектр iPad от 7-го поколения до актуальных моделей Pro и Air на чипах A16–M4. Размер обновления небольшой — оно содержит только патчи безопасности, без новых функций или изменений в интерфейсе.

Apple подчёркивает: это редкий случай, когда компания так оперативно и широко разворачивает бэкпорт исправлений для предыдущей major-версии. В официальном отчёте о безопасности прямо указано, что обновление предназначено именно для защиты от веб-атак DarkSword, а исправления были подготовлены ещё в 2025 году.

Эксперты по безопасности единодушны: если ваш iPhone или iPad до сих пор работает на iOS 18, обновление стоит установить как можно скорее. Для этого достаточно открыть «Настройки» → «Общие» → «Обновление ПО» и нажать «Установить сейчас». Тем, у кого включены автоматические обновления, патч придёт сам в ближайшие часы.

Пока угроза DarkSword остаётся актуальной для всех, кто не обновился, лучше не откладывать. В современном мире, где атаки через браузер становятся всё изощрённее, timely патчи от Apple — это не просто рекомендация, а реальная гарантия спокойствия за свои данные.

Ранее мы писали о том, что Как настроить Яндекс станцию: купил распаковал, настроил и пользуюсь · Настройка Яндекс Станции — это проще простого, и через несколько минут ты уже сможешь наслаждаться её возможностями! 😊 Вот пошаговая инструкция, написанная дружелюбно и понятно: