Τι πρέπει να κάνουν οι κάτοχοι
Σύμφωνα με την εταιρεία, εντοπίστηκαν δύο σοβαρά κενά ασφαλείας στο WebKit, τη μηχανή περιήγησης που «τρέχει» το Safari αλλά και όλα τα προγράμματα περιήγησης στο iOS και το iPadOS. Η Apple κάνει λόγο για μια «εξαιρετικά εξελιγμένη επίθεση» που φαίνεται να στοχεύει συγκεκριμένα άτομα.
Ο κίνδυνος προέρχεται από κακόβουλους ιστότοπους, οι οποίοι μπορούν να παραπλανήσουν τη συσκευή ώστε να εκτελέσει επιβλαβείς εντολές. Στην πράξη, αυτό σημαίνει ότι ένας χάκερ θα μπορούσε να αποκτήσει πρόσβαση στο iPhone ή το iPad, να πάρει τον έλεγχο της συσκευής ή να εκτελέσει κώδικα χωρίς την άδεια του χρήστη.
Όσοι έχουν ενεργοποιημένες τις αυτόματες ενημερώσεις, είναι πολύ πιθανό να έχουν ήδη εγκαταστήσει το σχετικό patch. Οι υπόλοιποι θα πρέπει να προχωρήσουν χειροκίνητα στη λήψη των iOS 26.2 ή iPadOS 26.2 μέσα από τις ρυθμίσεις της συσκευής τους.
Ποιες συσκευές θεωρούνται πιο ευάλωτες
Στις συσκευές που διατρέχουν τον μεγαλύτερο κίνδυνο περιλαμβάνονται το iPhone 11 και νεότερα μοντέλα, το iPad Pro 12,9 ιντσών τρίτης γενιάς και μεταγενέστερα, καθώς και το iPad Pro 11 ιντσών πρώτης γενιάς και μετά. Ευάλωτα θεωρούνται επίσης το iPad Air τρίτης γενιάς και νεότερα, το iPad όγδοης γενιάς και μετά, αλλά και το iPad mini πέμπτης γενιάς και μεταγενέστερα.
Τα συγκεκριμένα κενά χαρακτηρίζονται ως zero-day ευπάθειες, δηλαδή σφάλματα που δεν ήταν γνωστά στους δημιουργούς του λογισμικού και μπορούσαν να αξιοποιηθούν από επιτιθέμενους πριν υπάρξει διαθέσιμη διόρθωση.
Τι βρήκαν οι ειδικοί ασφαλείας
Τα προβλήματα εντοπίστηκαν από ομάδες ασφαλείας, μεταξύ των οποίων η ίδια η Apple και το Threat Analysis Group της Google. Οι ειδικοί προειδοποιούν ότι τα συγκεκριμένα bugs θα μπορούσαν να οδηγήσουν σε ιδιαίτερα σοβαρές κυβερνοεπιθέσεις.
Παράλληλα, η Apple κυκλοφόρησε ενημερώσεις και για άλλα λειτουργικά συστήματα, όπως τα iOS 18.7.3, iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2, καθώς και για το Safari 26.2.
Το πρώτο κενό ασφαλείας αφορά ένα σφάλμα τύπου use-after-free, δηλαδή ένα πρόβλημα διαχείρισης μνήμης, το οποίο διορθώθηκε με βελτιωμένο χειρισμό των προσωρινών δεδομένων. Η ευπάθεια αυτή καταγράφηκε ως CVE-2025-43529. Το δεύτερο πρόβλημα ήταν ένα σφάλμα αλλοίωσης μνήμης, που αντιμετωπίστηκε με αυστηρότερους ελέγχους, και έλαβε την κωδική ονομασία CVE-2025-14174.
Σε σχετική ανακοίνωση, η Apple επισημαίνει ότι «για την προστασία των πελατών μας, δεν αποκαλύπτουμε, δεν συζητάμε και δεν επιβεβαιώνουμε ζητήματα ασφαλείας μέχρι να ολοκληρωθεί η έρευνα και να είναι διαθέσιμες οι σχετικές διορθώσεις».
Πώς μπορούν να προστατευτούν οι χρήστες
Ο ειδικός σε θέματα κυβερνοασφάλειας Kurt Knutsson, σε άρθρο του στο FOX News, τονίζει ότι η άμεση εγκατάσταση ενημερώσεων είναι καθοριστικής σημασίας, καθώς οι επιθέσεις zero-day βασίζονται στο στοιχείο του αιφνιδιασμού και εκμεταλλεύονται παλιό λογισμικό. Προτείνει την ενεργοποίηση των αυτόματων ενημερώσεων σε όλες τις συσκευές Apple, ώστε τα patches να εγκαθίστανται μόλις κυκλοφορούν.
Παράλληλα, συνιστά να αποφεύγεται το άνοιγμα απρόσμενων συνδέσμων που φτάνουν μέσω SMS, WhatsApp, Telegram ή email. Αν ένας σύνδεσμος φαίνεται ύποπτος, είναι ασφαλέστερο να πληκτρολογείται χειροκίνητα η διεύθυνση του ιστότοπου στον browser.
Ο Knutsson υπογραμμίζει επίσης τη σημασία της χρήσης λογισμικού ασφαλείας σε όλες τις συσκευές, καθώς μπορεί να προειδοποιεί για phishing emails, ransomware και άλλες απειλές που στοχεύουν τα προσωπικά δεδομένα.
Μειώνοντας την ψηφιακή έκθεση
Όπως εξηγεί, οι στοχευμένες επιθέσεις συχνά ξεκινούν με τη συλλογή πληροφοριών για το θύμα. Όσο περισσότερα προσωπικά δεδομένα είναι διαθέσιμα στο διαδίκτυο, τόσο ευκολότερο είναι για έναν επιτιθέμενο να επιλέξει στόχο. Η αυστηροποίηση των ρυθμίσεων απορρήτου στα κοινωνικά δίκτυα και η αφαίρεση στοιχείων από ιστότοπους μεσιτών δεδομένων μπορεί να μειώσει σημαντικά την έκθεση.
Αν και καμία υπηρεσία δεν μπορεί να εξαφανίσει πλήρως τα προσωπικά δεδομένα από το διαδίκτυο, οι υπηρεσίες αφαίρεσης δεδομένων θεωρούνται μια αποτελεσματική, αν και ακριβή, λύση. Παρακολουθούν συστηματικά εκατοντάδες ιστοσελίδες και ζητούν τη διαγραφή προσωπικών πληροφοριών, καθιστώντας πολύ δυσκολότερο για απατεώνες να συνδυάσουν διαρρεύσαντα δεδομένα με δημόσιες πληροφορίες και να εξαπολύσουν επιθέσεις.
