Apple a lansat actualizări de securitate pentru remedierea unei vulnerabilități zero-day exploatate într-un “atac extrem de sofisticat” care viza persoane specifice.

Vulnerabilitatea, identificată ca CVE-2026-20700, permite executarea arbitrară de cod în Dynamic Link Editor (dyld), o componentă în sistemele de operare de la Apple, incluzând iOS, iPadOS, macOS, tvOS, watchOS și visionOS, responsabilă cu încărcarea și legarea dinamică a bibliotecilor (dynamic libraries) atunci când o aplicație este lansată.

Un atacator cu permisiuni de scriere în memorie poate exploata această vulnerabilitate pentru a executa cod arbitrar pe dispozitivele afectate, Apple detaliază într-un avertisment săptămâna aceasta.

Vulnerabilitatea afectează iPhone 11 și versiuni ulterioare, iPad Pro 12.9-inch (generația a 3-a și ulterioare), iPad Pro 11-inch (generația întâi și ulterioare), iPad Air (generația a 3-a și ulterioare), iPad (generația a 8-a și ulterioare), iPad mini (generația a 5-a și ulterioare), precum și dispozitivele Mac cu macOS Tahoe.

Apple confirmă că vulnerabilitatea a fost exploatată împreună cu CVE-2025-14174 și CVE-2025-43529, două probleme remediate în decembrie în cadrul acelorași incidente.

Compania de tehnologie spune că vulnerabilitatea CVE-2026-20700 a fost descoperită de specialiștii de la Google Threat Analysis Group (GTIG), dar nu a oferit detalii suplimentare despre modul de exploatare.

Problema de securitate a fost corectată în iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 și visionOS 26.3. Deși atacurile au vizat ținte specifice, utilizatorii sunt sfătuiți să instaleze actualizările pentru protecția dispozitivelor.

Aceasta este prima vulnerabilitate de tip zero-day (exploatată înainte ca vendorul să afle de ea) în dispozitive Apple care a fost remediată anul acesta. În 2025, Apple a reparata șapte vulnerabilități exploatate în atacuri zero day.