Apple corrige quatro falhas críticas no WebKit com apoio de ferramentas de IA
Aprofundamento CEVIU
Aprofundamento
A mais recente atualização da Apple, com destaque para o iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 e Safari 26.5.2, traz correções significativas para vulnerabilidades no WebKit. Este motor de renderização, central para o Safari e qualquer conteúdo web em dispositivos Apple, apresentou quatro falhas, incluindo problemas de corrupção de memória (CVE-2026-43707, CVE-2026-43715) e estouro de buffer (CVE-2026-43745), que poderiam levar a travamentos ou a execução de código malicioso. Além disso, uma falha permite o acesso a dados da área de transferência por sites.
Surpreendentemente, ferramentas de IA como Anthropic Claude e OpenAI Codex Security foram fundamentais na descoberta dessas vulnerabilidades. A Apple também corrigiu cerca de 30 falhas apenas no WebKit, incluindo uma que permitia a extração de conteúdo restrito do sandbox do navegador, e três bugs no kernel que poderiam levar a vazamento de estado, travamentos ou corrupção de memória.
O que mudou
A mudança mais notável na estratégia da Apple é a antecipação de correções de segurança. Tradicionalmente, a empresa consolidava a maioria dos patches em lançamentos de grandes versões do iOS, como o salto de 26.5 para 26.6. Agora, porém, a Apple liberou o iOS 26.5.2, com correções que normalmente aguardariam a versão 26.6, um mês depois do lançamento do 26.5.1. Essa aceleração responde à capacidade da IA de diminuir drasticamente o tempo entre a descoberta de uma falha e a criação de um exploit funcional, tornando o ciclo de segurança muito mais dinâmico.
Essa política difere da prática da Apple de "Melhorias de Segurança em Segundo Plano (BSI)", que foca em patches silenciosos para componentes como Safari e WebKit via diffs binários. Embora o BSI lide com correções contínuas, esta nova abordagem da Apple indica uma resposta mais agressiva a ameaças detectadas mais rapidamente devido à IA, liberando atualizações completas para o sistema antes do planejado, mesmo que os bugs não tenham sido explorados em massa.
Por que isso importa
Essa mudança de estratégia da Apple é um sinal claro da nova corrida armamentista entre defensores e atacantes no cenário da segurança cibernética, impulsionada pela IA. A capacidade de ferramentas de IA em identificar vulnerabilidades e acelerar o desenvolvimento de exploits exige que as empresas ajustem seus ciclos de patch de forma proativa. Para desenvolvedores e usuários, isso significa a necessidade de adotar atualizações de segurança de forma ainda mais ágil, já que a janela para exploração ativa de falhas conhecidas está encolhendo drasticamente.
A IA está se consolidando como uma ferramenta valiosa no hunting de bugs para equipes de segurança, mas ao mesmo tempo intensifica a ameaça de exploração por cibercriminosos. A transparência da Apple em creditar as ferramentas de IA na descoberta de falhas reflete uma nova realidade. A colaboração com modelos de IA para encontrar bugs representa um avanço na segurança, mas também um lembrete de que a superfície de ataque evolui constantemente.
Linha do tempo
Apple emite alertas de tela de bloqueio para iPhones e iPads sem patch, mencionando exploração por kits como Coruna e DarkSword.
Análise da engenharia reversa das Melhorias de Segurança em Segundo Plano (BSI) da Apple, que permitem correções silenciosas.
Apple lança patch raro para iOS 18 contra o exploit DarkSword, adaptando defesas do iOS 26.
Apple Passwords passa a corrigir senhas fracas e comprometidas automaticamente usando Apple Intelligence.
Apple libera iOS 26.5.2 e outras atualizações, antecipando correções de segurança para lidar com o avanço da IA na criação de exploits.
Perguntas frequentes
Quais vulnerabilidades foram corrigidas nesta atualização?
A atualização focou em cerca de 30 falhas no WebKit, motor de renderização do Safari, incluindo quatro descobertas com IA. Entre elas, estão problemas de corrupção de memória, estouro de buffer e uso após liberação, que podiam causar travamentos ou permitir a execução de código malicioso, além de falhas no kernel.
Como a IA mudou a estratégia de segurança da Apple?
A IA acelera a capacidade dos atacantes de transformar falhas conhecidas em exploits funcionais. Por isso, a Apple passou a liberar atualizações de segurança antecipadamente, fora do cronograma de grandes lançamentos do iOS, para encurtar a janela de exploração de vulnerabilidades.
Quais ferramentas de IA ajudaram a encontrar as falhas?
As vulnerabilidades CVE-2026-43707, CVE-2026-43716 e CVE-2026-43745 foram descobertas com o auxílio da equipe OpenAI Codex Security. A falha CVE-2026-43715 foi encontrada por Milad Nasr e Nicholas Carlini, trabalhando com o modelo Claude da Anthropic.
Devo atualizar meu dispositivo Apple imediatamente?
Sim. Embora a Apple não tenha encontrado evidências de exploração ativa dessas falhas antes das correções, a rapidez com que a IA pode criar exploits funcionais exige que os usuários instalem as atualizações o mais rápido possível para proteger seus dispositivos.
Fontes
- securityaffairs.comfonte original
- Categoria
- CEVIU Web Dev
- Publicado
- 01 de julho de 2026
- Editoria
- CEVIU Web Dev

