Το 9to5Mac Security Bite παρέχεται αποκλειστικά σε εσάς από Mosyle, η μόνη ενοποιημένη πλατφόρμα της Apple. Το να κάνουμε τις συσκευές Apple έτοιμες για εργασία και ασφαλείς για τις επιχειρήσεις είναι το μόνο που κάνουμε. Η μοναδική ολοκληρωμένη προσέγγισή μας στη διαχείριση και την ασφάλεια συνδυάζει προηγμένες λύσεις ασφαλείας ειδικά για την Apple για πλήρως αυτοματοποιημένη Hardening & Compliance, Next Generation EDR, Zero Trust με τεχνητή νοημοσύνη και αποκλειστική διαχείριση προνομίων με το πιο ισχυρό και σύγχρονο Apple MDM στην αγορά. Το αποτέλεσμα είναι μια πλήρως αυτοματοποιημένη Ενοποιημένη Πλατφόρμα Apple την οποία εμπιστεύονται σήμερα περισσότεροι από 45.000 οργανισμοί για να καταστήσει έτοιμες να λειτουργήσουν εκατομμύρια συσκευές Apple χωρίς κόπο και με προσιτό κόστος. Ζητήστε την ΕΚΤΑΣΗ ΔΟΚΙΜΗ σας σήμερα και κατανοήστε γιατί το Mosyle είναι ό,τι χρειάζεστε για να εργαστείτε με την Apple.
Την Τρίτη, μαζί με την ευρεία κυκλοφορία του iOS 26.4, το οποίο μέχρι τότε ήταν σε beta, η Apple έριξε μια τεράστια λίστα με ενημερώσεις κώδικα ασφαλείας που αντιμετωπίζουν πάνω από 35 τρωτά σημεία. Ενώ οι περισσότερες εκδόσεις ενός σημείου συνήθως συνοδεύονται από μεγάλο αριθμό διορθώσεων, υπάρχουν μερικές αξιοσημείωτες εδώ στις οποίες θέλω να επιστήσω την προσοχή.
Εδώ είναι αυτά που μου τράβηξαν την προσοχή.
Σχετικά με το Security Bite: Η εβδομαδιαία στήλη Security Bite και το podcast κάθε δύο εβδομάδες είναι η βαθιά σας βουτιά στον συνεχώς εξελισσόμενο κόσμο της ασφάλειας της Apple. Ο Arin Waichulis είναι πτυχιούχος επαγγελματίας πληροφορικής και τριτοετής συγγραφέας ασφαλείας στο 9 έως 5 Mac. Εδώ, ο Arin παίρνει ένα κομμάτι από τους πιο κρίσιμους τίτλους που επηρεάζουν το απόρρητο και την ασφάλεια, ώστε να μπορείτε να παραμένετε καλύτερα ενημερωμένοι.
Παράκαμψη προστασίας κλεμμένης συσκευής
Αυτό είναι το μεγαλύτερο. Η ευπάθεια (CVE-2026-28895) επέτρεψε σε κάποιον με φυσική πρόσβαση σε iPhone να παρακάμψει βιομετρικά προστατευμένες εφαρμογές χρησιμοποιώντας μόνο τον κωδικό πρόσβασης, ακόμη και με ενεργοποιημένη την Προστασία κλεμμένης συσκευής. Αυτό σημαίνει ότι οι εφαρμογές που περικλείονται από την επιλογή «Απαιτείται αναγνωριστικό προσώπου», την οποία οι χρήστες μπορούν να ενεργοποιήσουν πατώντας παρατεταμένα ένα εικονίδιο εφαρμογής, θα μπορούσαν να εξακολουθήσουν να είναι προσβάσιμες χρησιμοποιώντας μόνο τον κωδικό πρόσβασης της συσκευής.
Εάν παρακολουθείτε Δάγκωμα ασφαλείαςπρόσφατα ανέλυσα τις νέες αλλαγές Προστασίας κλεμμένων συσκευών τον Φεβρουάριο. Ένα από αυτά είναι ότι η Apple ενεργοποιεί τώρα τη δυνατότητα από προεπιλογή στο iOS 26.4.
Όλη η ουσία του Stolen Device Protection βρίσκεται στο όνομα. Είναι εκεί για να κάνει ένα κλεμμένο iPhone άχρηστο ακόμα κι αν ο κλέφτης έχει τον κωδικό πρόσβασής σας.
Μια παράκαμψη όπως η παραπάνω υπονομεύει πλήρως την αρχή του χαρακτηριστικού. Η Apple λέει ότι η επιδιόρθωση περιλάμβανε βελτιωμένους ελέγχους και το ζήτημα έχει πλέον επιδιορθωθεί.
Αν ενδιαφέρεστε για το πώς δημιουργήθηκε το Stolen Device Protection, εδώ είναι το παρασκήνιο.
Ένας τοπικός εισβολέας θα μπορούσε να έχει πρόσβαση στο Keychain σας
Το CVE-2026-28864 είναι άλλο ένα που βρίσκω ενδιαφέρων. Δεν υπάρχουν πολλές λεπτομέρειες για αυτό, αλλά σύμφωνα με την Apple, ένας τοπικός εισβολέας θα μπορούσε να αποκτήσει πρόσβαση σε στοιχεία Keychain λόγω ανεπαρκούς ελέγχου αδειών.
Το Keychain σας αποθηκεύει κωδικούς πρόσβασης, κλειδιά κρυπτογράφησης, διακριτικά και πολλά άλλα. Ένα ελάττωμα εδώ είναι μια αρκετά σοβαρή κλιμάκωση τοπικών προνομίων και, ενώ απαιτεί κάποιος να έχει φυσικά τη συσκευή σας στο χέρι, αυτό ακριβώς είναι ένα σενάριο για το οποίο έχει σχεδιαστεί η Προστασία κλεμμένης συσκευής.
Οι ρυθμίσεις απορρήτου της αλληλογραφίας σας μπορεί να μην λειτουργούσαν…
Το CVE-2026-20692 αποκάλυψε ότι η “Απόκρυψη διεύθυνσης IP” και η “Αποκλεισμός όλου του απομακρυσμένου περιεχομένου” ενδέχεται να μην έχουν εφαρμοστεί σε όλο το περιεχόμενο αλληλογραφίας. Επομένως, εάν τα είχατε ενεργοποιήσει στο Mail, υπάρχει πιθανότητα να το κάνετε Η διεύθυνση IP δεν ήταν κρυφή από τους αποστολείς και τα απομακρυσμένα φορτία εξακολουθούσαν να περνούν.
Δεν είναι ξεκάθαρο πόσο διαδεδομένο ήταν αυτό το ζήτημα, αλλά η αθόρυβη λειτουργία των χαρακτηριστικών δεν είναι ποτέ καλή.
Escape sandbox μέσω της εκτύπωσης
Το CVE-2026-20688 επέτρεψε σε μια εφαρμογή να ξεφύγει από το sandbox της μέσω ενός προβλήματος χειρισμού διαδρομής στο πλαίσιο εκτύπωσης. Αυτό είναι μέρος του AirPrint που επιτρέπει στους χρήστες να εκτυπώνουν ασύρματα πράγματα.
Οι αποδράσεις Sandbox είναι πάντα αξιοσημείωτες επειδή αποτελούν έναν κρίσιμο κρίκο στις αλυσίδες εκμετάλλευσης. Μόλις βγείτε από το sandbox, η επιφάνεια επίθεσης ανοίγει αρκετά.
Κακός μήνας για το WebKit
Επτά CVE συν ένα ζήτημα sandboxing. Τα σημαντικότερα σημεία περιλαμβάνουν μια παράκαμψη πολιτικής ίδιας προέλευσης (CVE-2026-20643), μια παράκαμψη πολιτικής ασφάλειας περιεχομένου (CVE-2026-20665) και ένα σφάλμα που επέτρεπε σε έναν κακόβουλο ιστότοπο να επεξεργάζεται περιορισμένο περιεχόμενο ιστού εκτός του sandbox (CVE-2026-28859).
Αυτό το τελευταίο είναι ιδιαίτερα ανησυχητικό.
Το takeaway
Κανένα από αυτά δεν αναφέρεται ως ενεργά εκμετάλλευση στην άγρια φύση, που είναι τα καλά νέα. Αλλά η σοβαρότητα πολλών από αυτά είναι αξιοσημείωτη για μια κυκλοφορία ενός σημείου.
Η παράκαμψη προστασίας κλεμμένης συσκευής, τα προβλήματα πρόσβασης στην αλυσίδα κλειδιού και οι ρυθμίσεις απορρήτου της αλληλογραφίας που αποτυγχάνουν σιωπηλά δεν είναι τα συνηθισμένα σας προβλήματα που αντιμετωπίζουν συνήθως οι χρήστες.
Συνιστώ την ενημέρωση σε 26.4 σε όλες τις συσκευές σας το συντομότερο δυνατό.
Μπορείτε να δείτε την πλήρη λίστα των ενημερώσεων κώδικα για iOS 26.4, macOS 26.4, tvOS 26.4, iPadOS 26.4 και άλλες πλατφόρμες στο Σελίδα εκδόσεων ασφαλείας της Apple.
Ακολουθήστε τον Arin Waichulis: LinkedIn, Νήματα, Χ
Εγγραφείτε στο 9to5Mac Security Bite Podcast για βαθιές καταδύσεις και συνεντεύξεις ανά δύο εβδομάδες με κορυφαίους ερευνητές και ειδικούς σε θέματα ασφάλειας της Apple:
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
