A Apple lançou uma atualização de segurança crítica para corrigir uma vulnerabilidade zero-day que afetava todas as versões do iOS desde a 1.0. Identificada como CVE-2026-20700, a falha teria sido explorada em um ataque descrito pela própria empresa como “extremamente sofisticado” contra indivíduos específicos.
O problema foi descoberto pelo Threat Analysis Group do Google e afeta o dyld, o dynamic linker da Apple, componente essencial responsável por carregar e preparar bibliotecas e dependências necessárias para que aplicativos sejam executados no sistema.
Uma falha estrutural com mais de uma década
O dyld funciona como uma espécie de intermediário central no processo de inicialização de aplicativos. Se comprometido, pode permitir que código malicioso seja executado antes mesmo que mecanismos de proteção, como sandboxing, entrem plenamente em ação.
Segundo o comunicado da Apple, um invasor com capacidade de escrita em memória poderia explorar a falha para executar código arbitrário. A empresa reconheceu que recebeu relatos de exploração ativa da vulnerabilidade em versões do iOS anteriores ao iOS 26.
Especialistas apontam que a vulnerabilidade pode ter sido utilizada como parte de uma cadeia de exploração envolvendo também falhas no WebKit, mecanismo de renderização utilizado pelo navegador do sistema.
Combinando brechas no navegador com a falha no dyld, atacantes poderiam criar um vetor de ataque de “zero-click” ou “one-click”, ou seja, situações onde a vítima não precisa interagir ativamente com um arquivo suspeito para ser comprometida, ou precisa apenas de uma única ação mínima. Esse tipo de exploração é geralmente associado a campanhas altamente direcionadas.
Possível ligação com spyware comercial
De acordo com análises independentes, o nível de sofisticação do ataque se assemelha a ferramentas desenvolvidas pela indústria de vigilância comercial. Empresas desse setor produzem e vendem exploits avançados para clientes governamentais.
Casos anteriores envolvendo ferramentas como Pegasus e Predator demonstraram como cadeias de vulnerabilidades em sistemas móveis podem ser usadas para comprometer dispositivos sem que o alvo perceba.
Embora a Apple não tenha atribuído publicamente o ataque a um fornecedor específico, o contexto técnico sugere o uso de recursos normalmente fora do alcance de criminosos comuns.
O relatório também menciona duas falhas divulgadas anteriormente: CVE-2025-14174, uma vulnerabilidade de acesso fora dos limites no motor gráfico ANGLE do Chrome para Mac, e CVE-2025-43529, que envolve um erro do tipo use-after-free com potencial de execução de código. Ambas receberam pontuação 8.8 na escala CVSS.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!