Murakkab maqsadli hujumlarda qo‘llanilgan Apple 0-Day zaifligi bartaraf etildi

2026-yil 11-fevral kuni Apple kompaniyasi iOS 26.3 va iPadOS 26.3 yangilanishlarini e’lon qildi. Ushbu versiyalar 40 dan ortiq xavfsizlik zaifliklarini bartaraf etadi. Eng e’tiborlisi — CVE-2026-20700 identifikatoriga ega bo‘lgan, real hujumlarda faol qo‘llangan xavfli 0-day zaiflikdir.

Mazkur zaiflik Apple’ning dyld (Dynamic Link Editor) komponentida aniqlangan bo‘lib, u iOS, macOS va boshqa Apple platformalarida dinamik kutubxonalarni yuklash va bog‘lash jarayonini boshqaradi. Aynan shu mexanizmdagi xatolik tajovuzkorlarga qurilmada ixtiyoriy kod bajarish imkonini berishi mumkin edi.

Zaiflik mohiyati: xotira buzilishi va kod bajarilishi

CVE-2026-20700 — bu xotira buzilishi (memory corruption) bilan bog‘liq zaiflik bo‘lib, noto‘g‘ri holat boshqaruvi (improper state management) natijasida yuzaga kelgan. Agar tajovuzkor qurilmada xotiraga yozish (memory-write) imkoniyatini qo‘lga kiritsa, dyld komponentining ishlash jarayonini buzib, nazorat oqimini o‘z tomoniga yo‘naltirishi mumkin.

Natijada:

  • zararli kod (shellcode) ishga tushiriladi;
  • tizim himoya mexanizmlari chetlab o‘tiladi;
  • qurilmaga josuslik dasturi o‘rnatilishi ehtimoli paydo bo‘ladi.

Ushbu zaiflik Google’ning Threat Analysis Group (TAG) mutaxassislari tomonidan aniqlangan. Apple bayonotiga ko‘ra, u “o‘ta murakkab va aniq nishonga qaratilgan hujumlar” zanjirining bir qismi sifatida qo‘llangan.

Nishon kimlar edi?

Dastlabki tahlillarga ko‘ra, hujumlar keng ommaga emas, balki aniq shaxslarga qaratilgan. Bunday nishonlar odatda:

  • jurnalistlar,
  • inson huquqlari faollari,
  • siyosiy arboblar,
  • yuqori lavozimli shaxslar

bo‘lishi mumkin.

Ushbu holat ilgari Pegasus kabi davlat darajasidagi josuslik kampaniyalarida kuzatilgan ssenariylarga o‘xshash. Hozircha ommaga taqdim etilgan ekspluatatsiya kodi (PoC) mavjud emas, biroq Apple’ning tezkor yangilanishi tahdidning jiddiyligini ko‘rsatadi.

Hujum zanjiri qanday ishlagan bo‘lishi mumkin?

Mutaxassislar taxminiga ko‘ra, hujum quyidagi bosqichlarda amalga oshirilgan:

  1. Qurilmaga dastlabki kirish (masalan, fishing yoki zero-click ekspluatatsiya orqali).
  2. Xotiraga yozish huquqini qo‘lga kiritish (WebKit yoki yadro darajasidagi boshqa xatolar yordamida).
  3. Dyld komponentining holatini buzish orqali kod bajarishni tashkil etish.
  4. Doimiy ishlovchi josuslik mexanizmini o‘rnatish.

Agar zaifliklar to‘g‘ri zanjirga bog‘lansa, hatto Pointer Authentication Codes (PAC) yoki KASLR kabi zamonaviy himoya mexanizmlarini ham chetlab o‘tish mumkin.

Qamrov va boshqa tuzatishlar

iOS 26.3 yangilanishi quyidagi yo‘nalishlarda ham muhim tuzatishlarni o‘z ichiga oladi:

  • Kernel (yadro) — root huquqlarini qo‘lga kiritishga olib kelishi mumkin bo‘lgan xatolar
  • WebKit — brauzer rendering jarayonidagi DoS va qulash (crash) muammolari
  • Sandbox — himoya muhitidan chiqib ketish imkoniyati
  • Accessibility va Photos — qulf ekranidan ma’lumot sizib chiqishi
  • CoreServices — root darajasiga olib keluvchi “race condition” xatolari

Qurilmalar doirasiga iPhone 11 va undan keyingi modellari, shuningdek so‘nggi avlod iPad Pro, Air va mini qurilmalari kiradi.

Apple zaiflikni “yaxshilangan holat boshqaruvi” orqali bartaraf etganini ma’lum qildi. Bu, ehtimol, dyld’ning xotira ajratish va kutubxonalarni bog‘lash bosqichlarida qo‘shimcha tekshiruvlar joriy etilganini anglatadi.

Foydalanuvchilarga tavsiya

Apple foydalanuvchilarga quyidagilarni tavsiya etadi:

  1. Qurilmani darhol yangilash:
    Settings → General → Software Update
  2. Avtomatik yangilanish funksiyasini yoqib qo‘yish.
  3. Keraksiz funksiyalarni o‘chirib qo‘yish (masalan, iPhone Mirroring).
  4. Korporativ muhitda — MDM siyosatlarini majburiy joriy etish va tizim loglarini kuzatib borish.

CVE-2026-20700 Apple’ning 2026-yildagi ilk 0-day zaifligi bo‘lib, 2025-yilda qayd etilgan yettita shunga o‘xshash holatdan so‘ng yana bir bor ilg‘or tahdidlar saqlanib qolayotganini ko‘rsatadi.

Mazkur hodisa shuni anglatadiki, hatto eng yopiq va xavfsiz deb hisoblangan ekotizimlar ham murakkab hujumlardan to‘liq himoyalanmagan. Ayniqsa, nishonli kiberjosuslik kampaniyalari zamonaviy ekspluatatsiya zanjirlari orqali kuchli himoya mexanizmlarini ham aylanib o‘tishi mumkin.

Shu sababli, raqamli xavfsizlikning eng oddiy, ammo eng muhim qoidasi o‘z kuchini yo‘qotmaydi:
tizimni doimiy ravishda yangilab borish — bu shaxsiy va korporativ himoyaning asosiy shartidir.