Apple a lansat actualizări de securitate pe 12 decembrie 2025 pentru mai multe sisteme de operare. Remedierile abordează două defecte critice ale motorului de browser WebKit, identificate ca CVE-2025-43529 și CVE-2025-14174. Vulnerabilitățile Essas au permis executarea de cod arbitrar sau coruperea memoriei la procesarea conținutului web rău intenționat.
Compania a confirmat că defectele au fost exploatate în atacuri foarte direcționate împotriva anumitor persoane în versiunile anterioare de iOS. Unul dintre ele, CVE-2025-14174, a afectat și browserul Chrome de la Google, care a primit o remediere separată pe 10 decembrie.
Actualizările acoperă iOS, iPadOS, macOS, tvOS, watchOS, visionOS și Safari. Usuários trebuie să instaleze cele mai recente versiuni pentru a reduce riscurile.
Detalii despre vulnerabilități remediate
CVE-2025-43529 este o problemă de utilizare gratuită în WebKit. Defectul Essa ar putea permite atacatorilor să execute cod arbitrar pe dispozitivele afectate prin intermediul paginilor web create.
Cercetătorii de la Google Threat Analysis Group au identificat și au raportat problema lui Apple. Exploatarea a cerut victimei doar să acceseze conținut rău intenționat într-un browser.
CVE-2025-14174 implică coruperea memoriei în procesarea conținutului web. Ela are un scor CVSS de 8,8, indicând o gravitate ridicată.
Aceeași vulnerabilitate a afectat biblioteca ANGLE de pe Chrome, cu o corecție coordonată între Apple și Google. Ambas defectele afectează WebKit, folosit obligatoriu în toate browserele de pe iOS și iPadOS.
- Executarea codului de la distanță fără interacțiune suplimentară a utilizatorului.
- Potențial de instalare a programelor spion pe dispozitivele țintă.
- Explorarea limitată la campanii direcționate, nu de masă.
Versiuni actualizate și dispozitive compatibile
Remedierile ajung prin versiuni specifice pentru fiecare platformă. Para Actualizările iOS și iPadOS sunt iOS 26.2 și iPadOS 26.2, plus iOS 18.7.3 și iPadOS 18.7.3 pentru modelele mai vechi.
Acestea acoperă iPhone-uri de la XS în sus, iPad-uri din ultimele generații și iPad-uri compatibile. Pe macOS Tahoe 26.2, actualizarea se aplică pentru Macs care rulează versiunea respectivă.
- tvOS 26.2: Apple HD și TV 4K toate modelele.
- watchOS 26.2: Apple Watch Series 6 și versiuni ulterioare.
- visionOS 26.2: Todos modelele lui Apple Vision Pro.
- Safari 26.2: Macs cu macOS Sonoma sau Sequoia.
Utilizatorii primesc actualizări automat sau le pot instala manual din setările software.
Contextul explorărilor zero-day în 2025
Cu aceste remedieri, Apple ajunge la nouă vulnerabilități zero-day exploatate în anul. Anteriormente, compania a remediat defecte precum CVE-2025-24085, CVE-2025-24200 și CVE-2025-24201 la începutul anului 2025.
Alții au inclus CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 și CVE-2025-43300. Muitas dintre ele au implicat componente precum Kernel sau ImageIO.
Frecvența zilelor zero reflectă interesul atacatorilor avansați pentru ecosistemele Apple. Colaborações cu grupuri precum Google TAG a ajutat la detectarea rapidă a acestor amenințări.
Aceste incidente evidențiază importanța actualizărilor regulate pe dispozitivele mobile și desktop.
Caracteristicile tehnice ale WebKit
WebKit servește ca motor de randare open-source utilizat în Safari. Pe iOS și iPadOS, toate browserele terțe, inclusiv Chrome, Edge și Firefox, depind de acestea din cauza restricțiilor de securitate.
Acest lucru face defectele WebKit deosebit de critice pentru utilizatorii Apple. Ataques poate exploata browsere alternative fără a fi nevoie de aplicații rău intenționate.
Biblioteca ANGLE, implicată în CVE-2025-14174, se ocupă de grafica WebGL. Problemas din acest strat afectează redarea pe mai multe platforme.
Îmbunătățirile în gestionarea memoriei rezolvă blocările raportate.
Colaborare între Apple și Google
Descoperirea comună reflectă coordonarea dintre echipele de securitate. Google TAG și Apple SEAR au lucrat împreună pentru a identifica CVE-2025-14174.
Google a aplicat pentru prima dată corecțiile desktopului Chrome pe 10 decembrie. Apple a urmat cu actualizări extinse două zile mai târziu.
Acest parteneriat accelerează răspunsurile la amenințările comune din componentele open-source. Explorações sugerează utilizarea în campanii de spyware mercenari.
Alte remedieri în aceeași actualizare
Actualizările includ patch-uri pentru mai mult de 20 de defecte suplimentare în diferite componente. Problemas în Kernel, ca depășirea întregului, ar putea permite escaladarea privilegiilor.
Defectele din cadre precum FaceTime, Messages și App Store primesc, de asemenea, remedieri. Algumas a implicat acces necorespunzător la date sensibile.
- CVE-2025-46285: Overflow pe Kernel cu potențial rădăcină.
- Probleme cu Screen Time care expun istoricul de navigare.
- Remedieri în curl și alte module de rețea.
Aceste îmbunătățiri generale întăresc securitatea generală a sistemelor.
Recomandări pentru utilizatori
Experții recomandă instalarea imediată a actualizărilor disponibile. Pe iPhone sau iPad, accesați Ajustes > Geral > Atualização din Software.
Pe Macs, utilizați Preferências din Sistema sau Configurações pentru a verifica dacă există actualizări. Dispositivos mai vechi primesc versiuni de asistență extinsă, cum ar fi iOS 18.7.3.
Menținerea backup-urilor regulate completează măsurile de protecție. Evitar legăturile suspecte reduc riscul de exploatare prin web. US Agência din Cibersegurança a adăugat unul dintre defecte la catalogul vulnerabilităților exploatate cunoscute.
Evoluția amenințărilor la adresa dispozitivelor Apple
Exploatarea defectelor din WebKit rămâne obișnuită în atacurile direcționate. În anii precedenți, vulnerabilități similare au facilitat instalarea instrumentelor de supraveghere.
Răspunsul rapid al lui Apple limitează impactul acestor campanii. Accentul pe atacuri sofisticate indică ținte de profil înalt, cum ar fi jurnaliștii sau activiștii.
Monitorizarea continuă de către echipele interne și externe menține detectarea eficientă.
