🍎 WebKit → dyld: анатомия системной exploit-chain

➡️Apple выпустила экстренное обновление для закрытия CVE-2026-20700. Это первый критический zero-day года, затрагивающий dyld (Dynamic Link Editor).
➡️Разбираем, почему это технически изящно и крайне опасно для тех, кто работает с чувствительными данными.

⚙️ dyld: точка, где начинается выполнение кода

dyld – это динамический компоновщик. В иерархии macOS и iOS он стоит у основания: когда вы запускаете любое приложение, первым просыпается именно он. Его задача – собрать исполняемый файл и системные библиотеки (.dylib) в единое целое в памяти.

В чем критичность?
dyld обладает огромными привилегиями. Ошибка управления памятью (memory corruption) здесь позволяет атакующему подменить адреса. Система вместо доверенной библиотеки Apple подгружает вредоносный код. Это происходит до того, как сработают основные уровни защиты.

➡️Как это эксплуатируется: логика цепочки
Злоумышленники не используют этот баг сам по себе. Это финальный аккорд в сложной цепочке (Exploit Chain):

– Entry Point: через уязвимости в WebKit (декабрьские CVE-2025-14174 и 43529). Пользователю достаточно просто зайти на подготовленную страницу. Браузер спотыкается, позволяя атакующему записать данные в ограниченную область памяти.

– Escalation: обычного доступа браузера атакующему мало – он заперт внутри процесса Safari. Чтобы получить доступ к сообщениям, камере или паролям, нужно выпрыгнуть в систему.

– The dyld Flip: здесь вступает новый zero-day. Атакующий через поврежденную память заставляет dyld при запуске любого системного процесса подгрузить не родную библиотеку Apple, а вредоносный код.

– Full Control: поскольку dyld доверяет загружаемым модулям, вредоносный код исполняется в контексте более привилегированного процесса.

➡️При чем здесь ИИ?
ИИ все чаще используется в исследовании уязвимостей.

– Автоматизация поиска: AI-агенты и LLM помогают находить аномалии в бинарном коде и нетривиальные паттерны управления памятью быстрее, чем при полностью ручном анализе. Это сокращает время на поиск слабых мест в сложных компонентах вроде WebKit или dyld.
– Ускорение цикла разработки: те же подходы применяются для фаззинга, triage и подготовки исправлений. В результате окно между обнаружением и закрытием уязвимости постепенно сокращается.

В итоге ключевым фактором становится не только глубина уязвимости, но и скорость ее обнаружения и устранения.

🟢

Автоматизация анализа постепенно снижает порог сложности для поиска нетривиальных цепочек эксплуатации

. То, что раньше искали годами вручную, теперь находят алгоритмы.
Цикл жизни багов сокращается, и единственная адекватная реакция – сокращать время до нажатия кнопки «Обновить ПО»

Stay safe. Update mandatory.

#ZeroDay #ExploitChain #dyld