News (TE)

ఆపిల్ పాచెస్ రెండు వెబ్‌కిట్ జీరో-డే లోపాలను అధునాతన టార్గెటెడ్ అటాక్స్‌లో ఉపయోగించుకుంది

Publicado em
Apple
Apple - Foto: slvn_an / Shutterstock.com
Siga o Mix Vale no GoogleVeja as notícias do Mundo com destaque nas buscas do GoogleAdicionar

Apple అనేక ఆపరేటింగ్ సిస్టమ్‌ల కోసం డిసెంబర్ 12, 2025న సెక్యూరిటీ అప్‌డేట్‌లను విడుదల చేసింది. CVE-2025-43529 మరియు CVE-2025-14174గా గుర్తించబడిన వెబ్‌కిట్ బ్రౌజర్ ఇంజిన్‌లోని రెండు క్లిష్టమైన లోపాలను పరిష్కారాలు సూచిస్తాయి. హానికరమైన వెబ్ కంటెంట్‌ను ప్రాసెస్ చేస్తున్నప్పుడు ఈ దుర్బలత్వాలు ఏకపక్ష కోడ్ అమలు లేదా మెమరీ అవినీతిని అనుమతించాయి.

IOS యొక్క మునుపటి సంస్కరణల్లో నిర్దిష్ట వ్యక్తులపై అత్యంత లక్ష్యంగా చేసుకున్న దాడులలో లోపాలు ఉపయోగించబడిందని కంపెనీ ధృవీకరించింది. వాటిలో ఒకటి, CVE-2025-14174, Google Chrome బ్రౌజర్‌ను కూడా ప్రభావితం చేసింది, ఇది డిసెంబర్ 10న ప్రత్యేక పరిష్కారాన్ని పొందింది.

నవీకరణలు iOS, iPadOS, macOS, tvOS, watchOS, visionOS మరియు Safariలను కవర్ చేస్తాయి. రిస్క్‌లను తగ్గించడానికి వినియోగదారులు తప్పనిసరిగా తాజా వెర్షన్‌లను ఇన్‌స్టాల్ చేయాలి.

స్థిర దుర్బలత్వాల వివరాలు

CVE-2025-43529 అనేది వెబ్‌కిట్‌లో ఉపయోగం తర్వాత-ఉచిత సమస్య. క్రాఫ్ట్ చేసిన వెబ్ పేజీల ద్వారా ప్రభావిత పరికరాలలో ఏకపక్ష కోడ్‌ని అమలు చేయడానికి ఈ లోపం దాడి చేసేవారిని అనుమతిస్తుంది.

గూగుల్ థ్రెట్ అనాలిసిస్ గ్రూప్ పరిశోధకులు ఈ సమస్యను గుర్తించి Appleకి నివేదించారు. దోపిడీకి బాధితుడు బ్రౌజర్‌లోని హానికరమైన కంటెంట్‌ను మాత్రమే యాక్సెస్ చేయాల్సి ఉంటుంది.

CVE-2025-14174 వెబ్ కంటెంట్ ప్రాసెసింగ్‌లో మెమరీ అవినీతిని కలిగి ఉంటుంది. ఆమె CVSS స్కోర్ 8.8ని కలిగి ఉంది, ఇది అధిక తీవ్రతను సూచిస్తుంది.

ఇదే దుర్బలత్వం Apple మరియు Google మధ్య సమన్వయంతో క్రోమ్‌లోని ANGLE లైబ్రరీని ప్రభావితం చేసింది. రెండు లోపాలు వెబ్‌కిట్‌ను ప్రభావితం చేస్తాయి, ఇది iOS మరియు iPadOSలోని అన్ని బ్రౌజర్‌లలో తప్పనిసరి.

  • అదనపు వినియోగదారు పరస్పర చర్య లేకుండా రిమోట్ కోడ్ అమలు.
  • లక్ష్య పరికరాలలో స్పైవేర్‌ను ఇన్‌స్టాల్ చేసే అవకాశం.
  • అన్వేషణ లక్ష్యంగా మాత్రమే పరిమితం చేయబడింది, ప్రచారాలకు కాదు.

నవీకరించబడిన సంస్కరణలు మరియు అనుకూల పరికరాలు

ప్రతి ప్లాట్‌ఫారమ్ కోసం నిర్దిష్ట సంస్కరణల ద్వారా పరిష్కారాలు వస్తాయి. iOS మరియు iPadOS కోసం, నవీకరణలు iOS 26.2 మరియు iPadOS 26.2, అలాగే పాత మోడల్‌ల కోసం iOS 18.7.3 మరియు iPadOS 18.7.3.

అవి XS నుండి ఐఫోన్‌లు, ఇటీవలి తరాల నుండి ఐప్యాడ్‌లు మరియు అనుకూలమైన ఐప్యాడ్ మినీలను కవర్ చేస్తాయి. MacOS Tahoe 26.2లో, ఆ సంస్కరణను అమలు చేస్తున్న Macsకి నవీకరణ వర్తిస్తుంది.

  • tvOS 26.2: Apple TV HD మరియు 4K అన్ని మోడళ్లు.
  • watchOS 26.2: Apple వాచ్ సిరీస్ 6 మరియు తదుపరిది.
  • visionOS 26.2: అన్ని Apple Vision Pro మోడల్‌లు.
  • Safari 26.2: MacOS Sonoma లేదా Sequoiaతో Macs.

వినియోగదారులు స్వయంచాలకంగా నవీకరణలను స్వీకరిస్తారు లేదా సాఫ్ట్‌వేర్ సెట్టింగ్‌ల నుండి వాటిని మాన్యువల్‌గా ఇన్‌స్టాల్ చేయవచ్చు.

Apple
Apple – ఫోటో: పాలో బోనా / Shutterstock.com

2025లో జీరో-డే అన్వేషణల సందర్భం

ఈ పరిష్కారాలతో, Apple ఏడాదిలో వినియోగించబడిన తొమ్మిది జీరో-డే దుర్బలత్వాలను చేరుకుంది. గతంలో, కంపెనీ 2025 ప్రారంభంలో CVE-2025-24085, CVE-2025-24200 మరియు CVE-2025-24201 వంటి లోపాలను సరిదిద్దింది.

ఇతర వాటిలో CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 మరియు CVE-2025-43300 ఉన్నాయి. వాటిలో చాలా వరకు కెర్నల్ లేదా ImageIO వంటి భాగాలు ఉన్నాయి.

జీరో-డేస్ యొక్క ఫ్రీక్వెన్సీ Apple పర్యావరణ వ్యవస్థలపై అధునాతన దాడి చేసేవారి ఆసక్తిని ప్రతిబింబిస్తుంది. Google TAG వంటి సమూహాలతో సహకారాలు ఈ బెదిరింపులను త్వరగా గుర్తించడంలో సహాయపడ్డాయి.

ఈ సంఘటనలు మొబైల్ మరియు డెస్క్‌టాప్ పరికరాలలో రెగ్యులర్ అప్‌డేట్‌ల యొక్క ప్రాముఖ్యతను హైలైట్ చేస్తాయి.

WebKit యొక్క సాంకేతిక లక్షణాలు

వెబ్‌కిట్ సఫారిలో ఉపయోగించే ఓపెన్ సోర్స్ రెండరింగ్ ఇంజిన్‌గా పనిచేస్తుంది. iOS మరియు iPadOSలో, Chrome, Edge మరియు Firefoxతో సహా అన్ని థర్డ్-పార్టీ బ్రౌజర్‌లు భద్రతా పరిమితుల కారణంగా దానిపై ఆధారపడి ఉంటాయి.

ఇది ముఖ్యంగా Apple వినియోగదారులకు WebKit లోపాలను క్లిష్టతరం చేస్తుంది. హానికరమైన యాప్‌ల అవసరం లేకుండానే దాడులు ప్రత్యామ్నాయ బ్రౌజర్‌లను ఉపయోగించుకోవచ్చు.

CVE-2025-14174లో పాల్గొన్న ANGLE లైబ్రరీ WebGL గ్రాఫిక్‌లను నిర్వహిస్తుంది. ఈ లేయర్‌లోని సమస్యలు బహుళ ప్లాట్‌ఫారమ్‌లలో రెండరింగ్‌ను ప్రభావితం చేస్తాయి.

మెమరీ నిర్వహణలో మెరుగుదలలు నివేదించబడిన క్రాష్‌లను పరిష్కరిస్తాయి.

Apple మరియు Google మధ్య సహకారం

ఉమ్మడి ఆవిష్కరణ భద్రతా బృందాల మధ్య సమన్వయాన్ని ప్రతిబింబిస్తుంది. CVE-2025-14174ని గుర్తించడానికి Google TAG మరియు Apple SEAR కలిసి పనిచేశాయి.

Google Chrome డెస్క్‌టాప్‌ను డిసెంబర్ 10న మొదటిసారి ప్యాచ్ చేసింది. ఆపిల్ రెండు రోజుల తర్వాత విస్తృత నవీకరణలను అనుసరించింది.

ఈ భాగస్వామ్యం ఓపెన్ సోర్స్ కాంపోనెంట్‌లలో షేర్డ్ బెదిరింపులకు ప్రతిస్పందనలను వేగవంతం చేస్తుంది. దోపిడీలు కిరాయి స్పైవేర్ ప్రచారాలలో ఉపయోగించమని సూచిస్తున్నాయి.

అదే నవీకరణలో ఇతర పరిష్కారాలు

నవీకరణలలో వివిధ భాగాలలో 20 కంటే ఎక్కువ అదనపు లోపాల కోసం ప్యాచ్‌లు ఉన్నాయి. పూర్ణాంకం ఓవర్‌ఫ్లో వంటి కెర్నల్ సమస్యలు ప్రత్యేకాధికారాల పెరుగుదలను అనుమతించగలవు.

FaceTime, Messages మరియు App Store వంటి ఫ్రేమ్‌వర్క్‌లలోని లోపాలు కూడా పరిష్కారాలను పొందుతాయి. కొందరు సున్నితమైన డేటాకు సరికాని ప్రాప్యతను కలిగి ఉన్నారు.

  • CVE-2025-46285: సంభావ్య రూట్‌తో కెర్నల్ ఓవర్‌ఫ్లో.
  • స్క్రీన్ టైమ్‌లోని సమస్యలు బ్రౌజింగ్ చరిత్రను బహిర్గతం చేస్తాయి.
  • కర్ల్ మరియు ఇతర నెట్‌వర్క్ మాడ్యూల్స్‌లో పరిష్కారాలు.

ఈ సాధారణ మెరుగుదలలు సిస్టమ్ యొక్క మొత్తం భద్రతను బలోపేతం చేస్తాయి.

వినియోగదారుల కోసం సిఫార్సులు

అందుబాటులో ఉన్న అప్‌డేట్‌లను వెంటనే ఇన్‌స్టాల్ చేయడానికి నిపుణులు సలహా ఇస్తారు. మీ iPhone లేదా iPadలో, సెట్టింగ్‌లు > జనరల్ > సాఫ్ట్‌వేర్ అప్‌డేట్‌కి వెళ్లండి.

Macsలో, నవీకరణల కోసం తనిఖీ చేయడానికి సిస్టమ్ ప్రాధాన్యతలు లేదా సెట్టింగ్‌లను ఉపయోగించండి. పాత పరికరాలు iOS 18.7.3 వంటి పొడిగించిన మద్దతు సంస్కరణలను పొందుతాయి.

సాధారణ బ్యాకప్‌లను నిర్వహించడం రక్షణ చర్యలను పూర్తి చేస్తుంది. అనుమానాస్పద లింక్‌లను నివారించడం వల్ల వెబ్ ద్వారా దోపిడీ జరిగే ప్రమాదం తగ్గుతుంది. US సైబర్‌సెక్యూరిటీ ఏజెన్సీ, తెలిసిన దోపిడీకి గురైన దుర్బలత్వాల జాబితాకు లోపాలలో ఒకదాన్ని జోడించింది.

ఆపిల్ పరికరాలకు బెదిరింపుల పరిణామం

వెబ్‌కిట్‌లోని లోపాలను ఉపయోగించడం లక్షిత దాడులలో సర్వసాధారణం. మునుపటి సంవత్సరాలలో, ఇలాంటి దుర్బలత్వాలు నిఘా సాధనాలను వ్యవస్థాపించడాన్ని సులభతరం చేశాయి.

Apple యొక్క శీఘ్ర ప్రతిస్పందన ఈ ప్రచారాల ప్రభావాన్ని పరిమితం చేస్తుంది. అధునాతన దాడులపై దృష్టి పెట్టడం జర్నలిస్టులు లేదా కార్యకర్తలు వంటి ఉన్నత స్థాయి లక్ష్యాలను సూచిస్తుంది.

అంతర్గత మరియు బాహ్య బృందాల నిరంతర పర్యవేక్షణ గుర్తింపును సమర్థవంతంగా ఉంచుతుంది.

Tag, , , , ,
To Top