Spoločnosť Apple vydala rozsiahlu sériu bezpečnostných aktualizácií pre iPhony, iPady, Macy a prehliadač Safari, ktorými opravila viac ako 30 zraniteľností – vrátane viacerých chýb identifikovaných s pomocou pokročilých systémov umelej inteligencie. Spoločnosť zároveň zrýchľuje svoju stratégiu vydávania softvérových aktualizácií v reakcii na rastúce obavy z kybernetických útokov podporovaných umelou inteligenciou.
Najnovšie aktualizácie, dostupné vo verziách iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 a Safari 26.5.2, riešia zraniteľnosti naprieč operačnými systémami spoločnosti Apple, jadrom prehliadača, jadrom operačného systému (kernelom), grafickými komponentmi aj webovými technológiami. Apple uviedol, že žiadna z týchto chýb zatiaľ nebola zneužitá pri reálnych útokoch, napriek tomu však dôrazne odporúča používateľom nainštalovať aktualizácie čo najskôr, aby sa znížilo riziko ich budúceho zneužitia.
Umelá inteligencia zohráva čoraz väčšiu úlohu vo výskume bezpečnosti spoločnosti Apple
Jedným z najvýznamnejších aspektov tejto aktualizácie je priznanie spoločnosti Apple, že umelá inteligencia sa stáva čoraz dôležitejším nástrojom pri objavovaní zraniteľností.
Štyri z opravených bezpečnostných chýb vo WebKite – jadre prehliadača, ktoré poháňa Safari aj všetky webové prehliadače na iPhonoch a iPadoch – boli identifikované s pomocou platformy OpenAI Codex Security a umelej inteligencie Claude od spoločnosti Anthropic v spolupráci s ľudskými bezpečnostnými výskumníkmi.
Apple pripísal platforme OpenAI Codex Security objavenie troch zraniteľností:
- CVE-2026-43707 – chyba poškodenia pamäte (memory corruption), ktorá môže pri spracovaní škodlivého webového obsahu spôsobiť pád aplikácie.
- CVE-2026-43716 – bližšie nešpecifikovaná zraniteľnosť, ktorá môže vyvolať neočakávané pády prehliadača Safari.
- CVE-2026-43745 – zraniteľnosť typu out-of-bounds write (zápis mimo vyhradeného rozsahu pamäte), ktorá môže taktiež viesť k pádom prehliadača.
Výskumníci spoločnosti Anthropic Milad Nasr a Nicholas Carlini, pracujúci spolu s modelom Claude AI, boli ocenení za identifikáciu zraniteľnosti CVE-2026-43715, ktorá patrí medzi chyby typu use-after-free a môže umožniť poškodenie pamäte pri spracovaní špeciálne vytvorených webových stránok v Safari.
Apple tieto problémy zmiernil prostredníctvom vylepšeného spravovania pamäte, lepšieho nakladania s pamäťou a posilnených mechanizmov overovania vstupných údajov.
Tieto poďakovania predstavujú ďalší míľnik v prijímaní veľkých jazykových modelov a analýzy kódu podporovanej umelou inteligenciou v oblasti kybernetickej bezpečnosti. Namiesto nahrádzania ľudských výskumníkov sa tieto systémy čoraz častejšie využívajú na analýzu rozsiahlych zdrojových kódov, odhaľovanie problémov s bezpečnosťou pamäte, identifikáciu nebezpečných programátorských vzorov a urýchľovanie výskumu zraniteľností.
WebKit zostáva vysoko hodnotným cieľom
Hoci zraniteľnosti objavené s pomocou umelej inteligencie vzbudili značnú pozornosť, predstavujú iba malú časť najnovších opráv WebKitu.
Celkovo Apple odstránil takmer 30 bezpečnostných problémov ovplyvňujúcich jadro prehliadača, čím potvrdil, že WebKit zostáva jednou z najdôkladnejšie skúmaných útočných plôch spoločnosti.
Medzi ďalšie opravené zraniteľnosti patria:
- CVE-2026-43720 – chyba typu use-after-free ovplyvňujúca komponent WebKit Canvas.
- CVE-2026-43725 – zraniteľnosť, ktorá môže umožniť škodlivým webovým stránkam spracovávať obmedzený webový obsah mimo sandboxu prehliadača.
Keďže WebKit zabezpečuje vykresľovanie webových stránok nielen v Safari, ale aj v nespočetnom množstve aplikácií pre iOS, zraniteľnosti ovplyvňujúce toto jadro majú bezpečnostné dôsledky ďaleko presahujúce samotný prehliadač Safari. Podľa pravidiel platformy Apple musia všetky prehliadače v systéme iOS používať WebKit, čo robí tieto bezpečnostné opravy mimoriadne významnými pre celý ekosystém Apple.
Zraniteľnosti jadra operačného systému mohli umožniť zvýšenie oprávnení
Najnovšia aktualizácia spoločnosti Apple obsahuje aj opravy viacerých zraniteľností na úrovni jadra operačného systému (kernelu) – chýb, ktoré sa vo všeobecnosti považujú za jedny z najzávažnejších, pretože zasahujú samotné jadro operačného systému.
Spoločnosť opravila zraniteľnosti, ktoré mohli potenciálne umožniť škodlivým aplikáciám:
- odhaliť citlivé informácie o rozložení pamäte jadra (CVE-2026-43722),
- spôsobiť neočakávané pády systému alebo zapisovať do pamäte jadra (CVE-2026-43724),
- poškodiť pamäť jadra (CVE-2026-39868).
Bezpečnostný výskumník Hyunwoo Kim, známy objavením zraniteľnosti Dirty Frag, získal uznanie za nahlásenie zraniteľností CVE-2026-43722 aj CVE-2026-43724.
Úniky informácií o jadre operačného systému sú pre útočníkov často veľmi cenné, pretože môžu oslabiť moderné mechanizmy ochrany pred zneužitím, ako je Kernel Address Space Layout Randomization (KASLR), čím uľahčujú kombinovanie viacerých zraniteľností do úspešného útoku.
Apple mení stratégiu vydávania opráv v čase zrýchľujúcich sa hrozieb podporovaných AI
Azda najvýznamnejším oznámením sprevádzajúcim tieto aktualizácie nebola samotná zraniteľnosť, ale strategická zmena v bezpečnostnej politike spoločnosti Apple.
Apple potvrdil, že mení spôsob vydávania bezpečnostných aktualizácií a rozhodol sa vydávať kritické opravy skôr než v predchádzajúcich vývojových cykloch softvéru.
Historicky zostávalo mnoho bezpečnostných opráv dostupných iba v beta verziách softvéru až do vydania ďalšej veľkej verzie operačného systému. Apple teraz uvádza, že tento prístup sa stáva čoraz rizikovejším, pretože umelá inteligencia dramaticky skracuje čas potrebný útočníkom na spätnú analýzu opráv a vývoj funkčných exploitov.
Podľa spoločnosti má AI potenciál skrátiť tradičný životný cyklus zraniteľnosti z týždňov alebo mesiacov na niekoľko hodín, čo Apple motivovalo skrátiť čas medzi objavením zraniteľnosti a doručením opravy používateľom.
Toto rozhodnutie odráža širšie obavy v oblasti kybernetickej bezpečnosti, že generatívna umelá inteligencia mení útočné aj obranné bezpečnostné operácie. Kým AI umožňuje výskumníkom rýchlejšie objavovať chyby softvéru, zároveň poskytuje útočníkom nové silné nástroje na analýzu zraniteľností, vývoj exploitov a tvorbu škodlivého softvéru.
Zatiaľ neexistujú dôkazy o aktívnom zneužívaní – rýchlosť je však rozhodujúca
Na rozdiel od viacerých skorších bezpečnostných upozornení spoločnosti Apple z tohto roku, ktoré sa týkali zraniteľností typu zero-day, Apple uviedol, že v súčasnosti neexistujú dôkazy o tom, že by niektorá z novo opravených chýb bola zneužívaná pri reálnych útokoch.
Napriek tomu sa odporúča nainštalovať aktualizácie čo najskôr, pretože útočníci často začínajú spätne analyzovať bezpečnostné opravy okamžite po ich zverejnení. Keď výskumníci identifikujú zmeny v zdrojovom kóde, vývoj funkčných dôkazov konceptu (proof-of-concept exploitov) zameraných na používateľov, ktorí ešte neaktualizovali svoje zariadenia, sa môže výrazne zjednodušiť.
Tento proces, označovaný ako „patch diffing“, je čoraz viac automatizovaný pomocou analýzy podporovanej umelou inteligenciou, čo robí odkladanie aktualizácií rastúcim bezpečnostným rizikom.
Umelá inteligencia mení výskum zraniteľností
Najnovšie zverejnené informácie zároveň ukazujú, ako rýchlo sa umelá inteligencia integruje do profesionálneho bezpečnostného výskumu.
Veľké jazykové modely, ako Claude a Codex, sa dnes používajú na kontrolu miliónov riadkov zdrojového kódu, identifikáciu nebezpečných operácií s pamäťou, navrhovanie možných ciest zneužitia zraniteľností a pomoc výskumníkom pri overovaní zložitého správania softvéru. Namiesto nahrádzania tradičných bezpečnostných auditov slúži AI čoraz viac ako inteligentný asistent, ktorý dokáže výrazne skrátiť čas potrebný na objavenie aj veľmi nenápadných zraniteľností.
Veľké technologické spoločnosti – vrátane Apple, Microsoftu, Googlu a spoločnosti Meta – počas uplynulého roka výrazne zvýšili investície do bezpečného vývoja softvéru podporovaného umelou inteligenciou a do automatizovaného objavovania zraniteľností. Túto technológiu považujú za nevyhnutnú na ochranu čoraz komplexnejších softvérových ekosystémov.
Používateľom sa odporúča okamžitá aktualizácia
Bezpečnostné opravy sú teraz dostupné prostredníctvom:
- iOS 26.5.2
- iPadOS 26.5.2
- macOS Tahoe 26.5.2
- Safari 26.5.2
Používatelia si môžu aktualizácie nainštalovať prostredníctvom sekcie Aktualizácia softvéru vo svojich zariadeniach.
Hoci Apple zdôraznil, že žiadna z opravených zraniteľností zatiaľ nebola zaznamenaná pri aktívnych útokoch, spoločnosť odporúča aktualizovať zariadenia okamžite, aby boli chránené pred budúcimi pokusmi o zneužitie. Keďže umelá inteligencia výrazne urýchľuje objavovanie zraniteľností aj vývoj exploitov, minimalizovanie času medzi zverejnením chyby a inštaláciou opravy sa stáva čoraz dôležitejšou súčasťou modernej kybernetickej bezpečnosti.
Viac informácií tu:
https://www.linkedin.com/comm/pulse/apple-releases-security-updates-multiple-vulnerabilities-cwfme