Apple corrige duas falhas zero-day no WebKit exploradas em ataques direcionados sofisticados

A Apple liberou atualizações de segurança em 12 de dezembro de 2025 para diversos sistemas operacionais. As correções abordam duas falhas críticas no motor de navegação WebKit, identificadas como CVE-2025-43529 e CVE-2025-14174. Essas vulnerabilidades permitiam execução de código arbitrário ou corrupção de memória ao processar conteúdo web malicioso.

A empresa confirmou que as falhas foram exploradas em ataques altamente direcionados contra indivíduos específicos em versões anteriores do iOS. Uma delas, a CVE-2025-14174, também afetava o navegador Chrome do Google, que recebeu correção separada em 10 de dezembro.

As atualizações abrangem iOS, iPadOS, macOS, tvOS, watchOS, visionOS e Safari. Usuários devem instalar as versões mais recentes para mitigar riscos.

Detalhes das vulnerabilidades corrigidas

A CVE-2025-43529 consiste em um problema de uso após liberação no WebKit. Essa falha poderia permitir que atacantes executassem código arbitrário em dispositivos afetados por meio de páginas web preparadas.

Pesquisadores do Google Threat Analysis Group identificaram e relataram o problema à Apple. A exploração exigia apenas que a vítima acessasse conteúdo malicioso em um navegador.

A CVE-2025-14174 envolve corrupção de memória no processamento de conteúdo web. Ela possui pontuação CVSS de 8,8, indicando gravidade alta.

Essa mesma vulnerabilidade impactava a biblioteca ANGLE no Chrome, com correção coordenada entre Apple e Google. Ambas as falhas afetam o WebKit, usado obrigatoriamente em todos os navegadores no iOS e iPadOS.

• Execução remota de código sem interação adicional do usuário.
• Potencial para instalação de spyware em dispositivos alvo.
• Exploração limitada a campanhas direcionadas, não em massa.

Versões atualizadas e dispositivos compatíveis

As correções chegam por meio de versões específicas para cada plataforma. Para iOS e iPadOS, as atualizações são iOS 26.2 e iPadOS 26.2, além de iOS 18.7.3 e iPadOS 18.7.3 para modelos mais antigos.

Elas cobrem iPhones a partir do XS, iPads de gerações recentes e iPad minis compatíveis. No macOS Tahoe 26.2, a atualização aplica-se a Macs executando essa versão.

• tvOS 26.2: Apple TV HD e 4K todos os modelos.
• watchOS 26.2: Apple Watch Series 6 e posteriores.
• visionOS 26.2: Todos os modelos de Apple Vision Pro.
• Safari 26.2: Macs com macOS Sonoma ou Sequoia.

Usuários recebem as atualizações automaticamente ou podem instalá-las manualmente nas configurações de software.

Contexto de explorações zero-day em 2025

Com essas correções, a Apple atinge nove vulnerabilidades zero-day exploradas no ano. Anteriormente, a empresa patchou falhas como CVE-2025-24085, CVE-2025-24200 e CVE-2025-24201 no início de 2025.

Outras incluíram CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 e CVE-2025-43300. Muitas delas envolviam componentes como Kernel ou ImageIO.

A frequência de zero-days reflete o interesse de atacantes avançados em ecossistemas Apple. Colaborações com grupos como o Google TAG ajudaram na detecção rápida dessas ameaças.

Esses incidentes destacam a importância de atualizações regulares em dispositivos móveis e desktops.

Características técnicas do WebKit

O WebKit serve como motor de renderização open-source usado no Safari. No iOS e iPadOS, todos os navegadores de terceiros, incluindo Chrome, Edge e Firefox, dependem dele por restrições de segurança.

Isso torna falhas no WebKit particularmente críticas para usuários Apple. Ataques podem explorar navegadores alternativos sem necessidade de apps maliciosos.

Leia Tambem

Anéis inteligentes avançam como alternativa discreta para monitoramento de saúde e bem-estar pessoal

Vazamento revela amostras do iPhone 18 Pro com novas cores; veja protótipos Azul Claro e Dark Cherry

Jogador Noahman90 encerra 11 anos de suporte a 6.000 caçadores em Bloodborne na luta contra Órfão de Kos

A biblioteca ANGLE, envolvida na CVE-2025-14174, lida com gráficos WebGL. Problemas nessa camada afetam renderização em múltiplas plataformas.

Melhorias em gerenciamento de memória resolvem as falhas reportadas.

Colaboração entre Apple e Google

A descoberta conjunta reflete coordenação entre equipes de segurança. O Google TAG e a Apple SEAR trabalharam juntos na identificação da CVE-2025-14174.

O Google aplicou patch primeiro no Chrome desktop em 10 de dezembro. A Apple seguiu com atualizações amplas dois dias depois.

Essa parceria acelera respostas a ameaças compartilhadas em componentes open-source. Explorações sugerem uso em campanhas de spyware mercenário.

Outras correções na mesma atualização

As atualizações incluem patches para mais de 20 falhas adicionais em componentes variados. Problemas no Kernel, como overflow de inteiros, poderiam permitir escalação de privilégios.

Falhas em frameworks como FaceTime, Messages e App Store também recebem correções. Algumas envolviam acesso indevido a dados sensíveis.

• CVE-2025-46285: Overflow no Kernel com potencial root.
• Issues em Screen Time expondo histórico de navegação.
• Correções em curl e outros módulos de rede.

Essas melhorias gerais reforçam a segurança geral dos sistemas.

Recomendações para usuários

Especialistas orientam instalação imediata das atualizações disponíveis. No iPhone ou iPad, acesse Ajustes > Geral > Atualização de Software.

Em Macs, use Preferências do Sistema ou Configurações para verificar updates. Dispositivos mais antigos recebem versões de suporte estendido como iOS 18.7.3.

Manter backups regulares complementa as medidas de proteção. Evitar links suspeitos reduz riscos de exploração via web. A Agência de Cibersegurança dos EUA adicionou uma das falhas ao catálogo de vulnerabilidades exploradas conhecidas.

Evolução das ameaças a dispositivos Apple

A exploração de falhas no WebKit continua comum em ataques direcionados. Em anos anteriores, vulnerabilidades semelhantes facilitaram instalação de ferramentas de vigilância.

A resposta rápida da Apple limita o impacto dessas campanhas. O foco em ataques sofisticados indica alvos de alto perfil, como jornalistas ou ativistas.

Monitoramento contínuo por equipes internas e externas mantém a detecção eficiente.