L’11 de febrer de 2026 Apple va treure una tanda d’actualitzacions de seguretat que corregeix CVE-2026-20700, un error de corrupció de memòria a dyld, l’enllaçador dinàmic dels seus sistemes operatius. La mateixa Apple reconeix que el problema pot haver-se aprofitat en un atac “extremadament sofisticat” contra individus concrets. Això el converteix en un zero-day: ja s’estava explotant quan encara no hi havia pegat.
Què és la vulnerabilitat
dyld (dynamic linker) és una peça crítica dels sistemes d’Apple. S’encarrega de carregar biblioteques dinàmiques a la memòria i d’enllaçar el codi de cada aplicació amb els frameworks del sistema quan arrenca un programa. Gairebé tot el que s’executa en un dispositiu Apple passa per dyld, així que qualsevol error allà dins val molt per a un atacant.
CVE-2026-20700 és una corrupció de memòria. Un atacant amb capacitat d’escriptura a la memòria podia aprofitar-la per aconseguir l’execució de codi arbitrari. No parlem d’un simple problema d’estabilitat: en les condicions adequades permet executar instruccions que controla l’atacant al mateix dispositiu.
A qui afecta i gravetat
L’error travessa tots els sistemes d’Apple. Afecta:
- iOS i iPadOS
- macOS (inclosa la branca Tahoe)
- watchOS
- tvOS
- visionOS
La gravetat és crítica per dos motius que se sumen: l’execució de codi arbitrari i, sobretot, l’explotació activa que confirma la mateixa Apple. La companyia descriu l’atac com a dirigit a persones concretes amb tècniques molt avançades, el patró habitual del programari espia mercenari i d’actors amb molts recursos. La vulnerabilitat la va reportar el Threat Analysis Group (TAG) de Google, l’equip que segueix la pista a les campanyes d’explotació dirigides. A més, s’ha vinculat la seva explotació a altres zero-days que WebKit ja va corregir a finals de 2025.
Per a l’usuari de a peu el risc de ser un objectiu directe és baix, perquè aquests atacs es reserven per a víctimes d’alt valor. Tot i així, un cop publicada la correcció i descrita la naturalesa de l’error, el coneixement tècnic es difon ràpid, així que convé actualitzar sense esperar.
Mitigació i pegat
L’única mitigació que serveix és instal·lar les actualitzacions que Apple va publicar l’11 de febrer de 2026. El pegat ve a:
- iOS 26.3 i iPadOS 26.3
- macOS Tahoe 26.3
- watchOS 26.3
- tvOS 26.3
- visionOS 26.3
Algunes recomanacions pràctiques:
- Actualitza des de Configuració → General → Actualització de programari (iOS/iPadOS) o Configuració del sistema → General → Actualització (macOS).
- Activa les actualitzacions automàtiques i redueix així la finestra d’exposició davant de futurs zero-days.
- Si gestiones dispositius en una organització, desplega com més aviat millor a través del teu MDM, sobretot en els perfils d’alt risc (directius, periodistes, activistes).
Aquesta actualització va formar part d’un lliurament més ampli de febrer de 2026 en què Apple va corregir desenes de vulnerabilitats més al kernel, WebKit i altres components. Tens més context sobre el sistema afectat a la fitxa de macOS.
Font
- The Hacker News — Apple Fixes Exploited Zero-Day Affecting iOS, macOS, and Other Devices: https://thehackernews.com/2026/02/apple-fixes-exploited-zero-day.html
- Detall del CVE a NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-20700