Apple libera atualizações urgentes contra duas falhas zero-day exploradas em ataques direcionados

A Apple liberou atualizações de segurança emergenciais para corrigir duas vulnerabilidades zero-day no motor WebKit. As falhas, identificadas como CVE-2025-43529 e CVE-2025-14174, foram exploradas em ataques sofisticados contra indivíduos específicos.

Os patches chegam em versões como iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2 e outras plataformas da empresa.

A exploração ocorria por meio de conteúdo web malicioso, sem necessidade de interação do usuário além de carregar uma página.

• iPhone 11 e modelos posteriores
• iPad Pro (12.9 polegadas de 3ª geração em diante, 11 polegadas de 1ª geração em diante)
• iPad Air (3ª geração e posteriores)
• iPad (8ª geração e posteriores)
• iPad mini (5ª geração e posteriores)

Detalhes das vulnerabilidades

A CVE-2025-43529 trata-se de um erro do tipo use-after-free no WebKit.

Esse problema permite a execução arbitrária de código ao processar conteúdo web malicioso.

Pesquisadores do Google Threat Analysis Group identificaram a falha, que recebeu correção com melhorias no gerenciamento de memória.

A CVE-2025-14174 envolve corrupção de memória, também desencadeada por conteúdo web crafted.

Créditos vão para equipes da Apple e do Google TAG.

A correção incluiu validações aprimoradas.

Ambas as vulnerabilidades afetam o WebKit, componente central para renderização de conteúdo web em Safari e apps do ecossistema Apple.

Versões com correções disponíveis

A Apple disponibilizou as atualizações em múltiplas plataformas simultaneamente.

• iOS 26.2 e iPadOS 26.2
• iOS 18.7.3 e iPadOS 18.7.3 (para dispositivos mais antigos)
• macOS Tahoe 26.2
• tvOS 26.2, watchOS 26.2 e visionOS 26.2
• Safari 26.2

A empresa confirmou que as explorações ocorreram em versões anteriores ao iOS 26.

A coordenação com o Google destacou a gravidade, já que a CVE-2025-14174 também afetou o Chrome, recebendo patch separado.

Coordenação entre Apple e Google

As duas empresas atuaram em conjunto na identificação e correção.

O Google Threat Analysis Group, especializado em ameaças avançadas, contribuiu diretamente para as duas falhas.

A CVE-2025-14174 inicialmente apareceu como vulnerabilidade no componente ANGLE do Chrome.

Atualizações posteriores ligaram o problema ao WebKit na plataforma Apple.

Essa colaboração reflete preocupações compartilhadas com explorações ativas.

Leia Tambem

Microlua azul rara surge no fim de semana; próxima aparição será apenas em dezembro de 2028

Explosão de foguete New Glenn da Blue Origin ocorre durante teste hotfire no Cabo Canaveral, Flórida

Nintendo Switch 2 alcança 247.880 unidades vendidas no Japão, dominando o mercado de 18 a 24 de maio

Pesquisadores observam que o envolvimento do TAG sugere possíveis ligações com atores estatais ou campanhas de spyware.

Dispositivos afetados e alcance

As vulnerabilidades impactam ampla gama de hardware Apple.

Modelos recentes de iPhone e iPad permanecem vulneráveis sem a atualização.

O WebKit integra-se profundamente ao sistema, permitindo que apps exibam conteúdo web sem abrir o Safari.

Ataques exigiam apenas o carregamento de uma página maliciosa.

Dispositivos executando versões antigas do iOS enfrentam risco maior.

Ano com múltiplas zero-days corrigidas

2025 registrou várias correções de zero-days na Apple.

Esses incidentes somam pelo menos sete a nove casos explorados no mundo real.

Falhas anteriores afetaram componentes como Kernel e ImageIO.

A frequência indica tendência crescente de ataques direcionados a plataformas móveis.

Especialistas destacam a sofisticação dessas campanhas, semelhantes a operações passadas com chains de exploits.

Recomendações para usuários

Usuários devem instalar as atualizações imediatamente.

No iPhone ou iPad, acesse Ajustes > Geral > Atualização de Software.

Em Macs, use Preferências do Sistema > Atualização de Software.

A Apple reforça que, embora os ataques sejam direcionados, a aplicação do patch previne riscos futuros.

Dispositivos incompatíveis com versões novas recebem atualizações de segurança separadas quando possível.