Apple, iOS'un ilk sürümünden bu yana tüm versiyonlarını etkileyen ve on yıldan uzun süredir var olan kritik bir sıfır gün (zero-day) güvenlik açığını (CVE-2026-20700) giderdi. Google'ın Tehdit Analiz Grubu tarafından keşfedilen bu açık, Apple'ın dinamik bağlayıcısı dyld'yi etkiliyor ve bellek yazma yeteneğine sahip saldırganların rastgele kod yürütmesine olanak tanıyordu. Apple, bu güvenlik açığının "son derece sofistike saldırılarla belirli hedeflenmiş bireylere karşı" kullanıldığını ve muhtemelen bir sömürü zincirinin parçası olduğunu belirtti. Huntress'tan Brian Milbier, dyld'yi telefonun bir "kapıcısı" olarak tanımlayarak, bu açığın saldırganların güvenlik kontrolleri başlamadan önce bir anahtar ele geçirmesine izin verdiğini açıkladı. Bu zafiyetin, iOS 26.3 güncellemesinde ele alınan WebKit açıklarıyla birleştirilmesi, saldırganlara "sıfır tıklama" veya "tek tıklama" ile cihaz üzerinde tam kontrol sağlama potansiyeli sunuyordu. Milbier, bu tür bir sofistikasyonun, Pegasus ve Predator gibi casus yazılımlar geliştiren ticari gözetim endüstrisi tarafından kullanılan yöntemlere benzediğini vurguladı. iOS 26.3 güncellemesi, on yıldan uzun süredir kilitli kalmış bu kapıyı nihayet kapatmış oldu.
Bu güvenlik açığı, ticari casus yazılım endüstrisi tarafından on yıldan fazla bir süredir aktif olarak kullanılmış olabileceği için milyonlarca iOS kullanıcısının gizliliğini ve güvenliğini ciddi şekilde tehdit ediyordu.