अत्याधुनिक लक्ष्यित हल्ल्यांमध्ये ऍपलने दोन वेबकिट झिरो-डे दोषांचा वापर केला

    Bruna
  • em 16 de dezembro de 2025
    • Categories: News (MR)
Apple

Apple - Foto: slvn_an / Shutterstock.com

Siga o Mix Vale no GoogleVeja as notícias do Mundo com destaque nas buscas do GoogleAdicionar

Apple ने 12 डिसेंबर 2025 रोजी अनेक ऑपरेटिंग सिस्टमसाठी सुरक्षा अद्यतने जारी केली. वेबकिट ब्राउझर इंजिनमधील दोन गंभीर त्रुटी दूर करतात, CVE-2025-43529 आणि CVE-2025-14174. दुर्भावनापूर्ण वेब सामग्रीवर प्रक्रिया करताना या भेद्यतेमुळे अनियंत्रित कोड अंमलबजावणी किंवा मेमरी करप्ट होऊ शकते.

कंपनीने पुष्टी केली की iOS च्या मागील आवृत्त्यांमध्ये विशिष्ट व्यक्तींविरूद्ध उच्च लक्ष्यित हल्ल्यांमध्ये दोषांचा वापर केला गेला. त्यापैकी एक, CVE-2025-14174, Google च्या Chrome ब्राउझरवर देखील परिणाम झाला, ज्याला 10 डिसेंबर रोजी वेगळे निराकरण मिळाले.

अद्यतनांमध्ये iOS, iPadOS, macOS, tvOS, watchOS, visionOS आणि सफारी समाविष्ट आहेत. जोखीम कमी करण्यासाठी वापरकर्त्यांनी नवीनतम आवृत्त्या स्थापित करणे आवश्यक आहे.

निश्चित भेद्यतेचे तपशील

CVE-2025-43529 ही वेबकिटमध्ये वापरा-नंतर-मुक्त समस्या आहे. हा दोष हल्लेखोरांना तयार केलेल्या वेब पृष्ठांद्वारे प्रभावित डिव्हाइसेसवर अनियंत्रित कोड कार्यान्वित करण्यास अनुमती देऊ शकतो.

Google Threat Analysis Group मधील संशोधकांनी ही समस्या ओळखली आणि Apple ला तक्रार केली. शोषणासाठी फक्त पीडितेला ब्राउझरमधील दुर्भावनापूर्ण सामग्रीमध्ये प्रवेश करणे आवश्यक होते.

CVE-2025-14174 मध्ये वेब सामग्रीच्या प्रक्रियेत मेमरी करप्शनचा समावेश आहे. तिचा CVSS स्कोअर 8.8 आहे, जो उच्च तीव्रता दर्शवतो.

याच असुरक्षाने Apple आणि Google यांच्यात समन्वय साधून Chrome मधील ANGLE लायब्ररीवर परिणाम केला. दोन्ही दोष WebKit वर परिणाम करतात, जे iOS आणि iPadOS वरील सर्व ब्राउझरमध्ये अनिवार्य आहे.

  • अतिरिक्त वापरकर्ता परस्परसंवादाशिवाय दूरस्थ कोडची अंमलबजावणी.
  • लक्ष्य उपकरणांवर स्पायवेअर स्थापित करण्यासाठी संभाव्य.
  • शोध मोहिमेपुरते मर्यादित, लक्ष्यित नाही.

अद्यतनित आवृत्त्या आणि सुसंगत डिव्हाइस

निराकरणे प्रत्येक प्लॅटफॉर्मसाठी विशिष्ट आवृत्त्यांमधून येतात. iOS आणि iPadOS साठी, iOS 26.2 आणि iPadOS 26.2, तसेच जुन्या मॉडेलसाठी iOS 18.7.3 आणि iPadOS 18.7.3 अद्यतने आहेत.

ते XS पासून iPhones, अलीकडील पिढ्यांमधील iPads आणि सुसंगत iPad mini कव्हर करतात. macOS Tahoe 26.2 मध्ये, अपडेट त्या आवृत्तीवर चालणाऱ्या Mac वर लागू होते.

  • tvOS 26.2: Apple TV HD आणि 4K सर्व मॉडेल.
  • watchOS 26.2: Apple Watch Series 6 आणि नंतरचे.
  • visionOS 26.2: सर्व Apple Vision Pro मॉडेल.
  • सफारी 26.2: macOS सोनोमा किंवा सेक्वॉइया सह Mac.

वापरकर्ते स्वयंचलितपणे अद्यतने प्राप्त करतात किंवा सॉफ्टवेअर सेटिंग्जमधून ते व्यक्तिचलितपणे स्थापित करू शकतात.

ऍपल – फोटो: पावलो बोना / Shutterstock.com

2025 मध्ये शून्य-दिवसीय अन्वेषणांचा संदर्भ

या सुधारणांसह, Apple वर्षभरात शोषण केलेल्या नऊ शून्य-दिवस असुरक्षिततेपर्यंत पोहोचते. यापूर्वी, कंपनीने 2025 च्या सुरुवातीला CVE-2025-24085, CVE-2025-24200 आणि CVE-2025-24201 यांसारख्या त्रुटी दूर केल्या होत्या.

इतरांमध्ये CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 आणि CVE-2025-43300 यांचा समावेश आहे. त्यापैकी बऱ्याच घटकांमध्ये कर्नल किंवा इमेजआयओ सारखे घटक समाविष्ट आहेत.

शून्य-दिवसांची वारंवारता Apple इकोसिस्टममधील प्रगत आक्रमणकर्त्यांची स्वारस्य दर्शवते. Google TAG सारख्या गटांसह सहकार्याने या धोक्यांना त्वरीत शोधण्यात मदत केली आहे.

या घटना मोबाइल आणि डेस्कटॉप उपकरणांवरील नियमित अद्यतनांचे महत्त्व अधोरेखित करतात.

वेबकिटची तांत्रिक वैशिष्ट्ये

वेबकिट हे सफारीमध्ये वापरलेले ओपन-सोर्स रेंडरिंग इंजिन म्हणून काम करते. iOS आणि iPadOS वर, Chrome, Edge आणि Firefox सह सर्व तृतीय-पक्ष ब्राउझर सुरक्षिततेच्या निर्बंधांमुळे त्यावर अवलंबून असतात.

हे Apple वापरकर्त्यांसाठी वेबकिट त्रुटी विशेषतः गंभीर बनवते. दुर्भावनायुक्त ॲप्सच्या गरजेशिवाय हल्ले वैकल्पिक ब्राउझरचे शोषण करू शकतात.

CVE-2025-14174 मध्ये समाविष्ट असलेली ANGLE लायब्ररी, WebGL ग्राफिक्स हाताळते. या स्तरातील समस्या एकाधिक प्लॅटफॉर्मवरील प्रस्तुतीकरणावर परिणाम करतात.

मेमरी व्यवस्थापनातील सुधारणा नोंदवलेल्या क्रॅशचे निराकरण करतात.

Apple आणि Google मधील सहयोग

संयुक्त शोध सुरक्षा दलांमधील समन्वय प्रतिबिंबित करतो. Google TAG आणि Apple SEAR यांनी CVE-2025-14174 ओळखण्यासाठी एकत्र काम केले.

Google ने प्रथम 10 डिसेंबर रोजी Chrome डेस्कटॉपला पॅच केले. ऍपलने दोन दिवसांनंतर व्यापक अद्यतनांसह पाठपुरावा केला.

ही भागीदारी मुक्त-स्रोत घटकांमधील सामायिक धमक्यांना प्रतिसादांना गती देते. शोषणे भाडोत्री स्पायवेअर मोहिमेमध्ये वापर सुचवतात.

त्याच अद्यतनात इतर निराकरणे

अद्यतनांमध्ये विविध घटकांमधील 20 पेक्षा जास्त अतिरिक्त दोषांसाठी पॅच समाविष्ट आहेत. कर्नल समस्या, जसे की पूर्णांक ओव्हरफ्लो, विशेषाधिकार वाढीस अनुमती देऊ शकतात.

FaceTime, Messages आणि App Store सारख्या फ्रेमवर्कमधील त्रुटी देखील दुरुस्त केल्या जातात. काही संवेदनशील डेटामध्ये अयोग्य प्रवेशाचा समावेश आहे.

  • CVE-2025-46285: संभाव्य रूटसह कर्नल ओव्हरफ्लो.
  • ब्राउझिंग इतिहास उघड करणाऱ्या स्क्रीन टाइममधील समस्या.
  • कर्ल आणि इतर नेटवर्क मॉड्यूल्समधील निराकरणे.

या सामान्य सुधारणांमुळे सिस्टमची संपूर्ण सुरक्षा मजबूत होते.

वापरकर्त्यांसाठी शिफारसी

तज्ञ उपलब्ध अद्यतनांची त्वरित स्थापना करण्याचा सल्ला देतात. तुमच्या iPhone किंवा iPad वर, Settings > General > Software Update वर जा.

Macs वर, अद्यतने तपासण्यासाठी सिस्टम प्राधान्ये किंवा सेटिंग्ज वापरा. जुन्या उपकरणांना iOS 18.7.3 सारख्या विस्तारित समर्थन आवृत्त्या मिळतात.

नियमित बॅकअप ठेवणे संरक्षण उपायांना पूरक आहे. संशयास्पद दुवे टाळल्याने वेबद्वारे शोषणाचा धोका कमी होतो. यूएस सायबरसुरक्षा एजन्सीने ज्ञात शोषित असुरक्षा कॅटलॉगमध्ये एक त्रुटी जोडली.

ऍपल उपकरणांना धोक्याची उत्क्रांती

लक्ष्यित हल्ल्यांमध्ये WebKit मधील दोषांचे शोषण सामान्य आहे. मागील वर्षांमध्ये, तत्सम भेद्यतेमुळे पाळत ठेवणे साधने स्थापित करणे सोपे झाले.

Apple चा द्रुत प्रतिसाद या मोहिमांचा प्रभाव मर्यादित करतो. अत्याधुनिक हल्ल्यांवर लक्ष केंद्रित करणे हे पत्रकार किंवा कार्यकर्ते यासारख्या उच्च-प्रोफाइल लक्ष्यांना सूचित करते.

अंतर्गत आणि बाह्य संघांद्वारे सतत निरीक्षण केल्याने शोध कार्यक्षम राहते.

Tags: CVE-2025-43529WebKit भेद्यताऍपल अद्यतनेऍपलने शून्य-दिवसातील त्रुटी दूर केल्यातंत्रज्ञानशून्य दिवस ऍपल