Apple opravuje dvě chyby WebKit Zero-Day zneužité v sofistikovaných cílených útocích

Apple vydal 12. prosince 2025 aktualizace zabezpečení pro několik operačních systémů. Opravy řeší dvě kritické chyby v enginu prohlížeče WebKit, označené jako CVE-2025-43529 a CVE-2025-14174. Chyby zabezpečení Essas umožňovaly spuštění libovolného kódu nebo poškození paměti při zpracování škodlivého webového obsahu.

Společnost potvrdila, že chyby byly zneužity při vysoce cílených útocích proti konkrétním jednotlivcům v předchozích verzích iOS. Jedna z nich, CVE-2025-14174, zasáhla také prohlížeč Chrome od Google, který dostal samostatnou opravu 10. prosince.

Aktualizace pokrývají iOS, iPadOS, macOS, tvOS, watchOS, visionOS a Safari. Usuários musí nainstalovat nejnovější verze, aby se snížila rizika.

Podrobnosti o opravených zranitelnostech

CVE-2025-43529 je problém bez použití ve WebKitu. Chyba Essa by mohla umožnit útočníkům spouštět libovolný kód na postižených zařízeních prostřednictvím vytvořených webových stránek.

Výzkumníci z Google Threat Analysis Group identifikovali a nahlásili problém Apple. Zneužití pouze vyžadovalo, aby oběť přistupovala ke škodlivému obsahu v prohlížeči.

CVE-2025-14174 zahrnuje poškození paměti při zpracování webového obsahu. Ela má skóre CVSS 8,8, což ukazuje na vysokou závažnost.

Stejná chyba zabezpečení ovlivnila knihovnu ANGLE na Chrome, s opravou koordinovanou mezi Apple a Google. Ambas chyby ovlivňují WebKit, který se povinně používá ve všech prohlížečích na iOS a iPadOS.

• Vzdálené spuštění kódu bez další interakce uživatele.
• Potenciál pro instalaci spywaru na cílová zařízení.
• Průzkum je omezen na cílené, nikoli hromadné kampaně.

Aktualizované verze a kompatibilní zařízení

Opravy přicházejí prostřednictvím specifických verzí pro každou platformu. Para Aktualizace iOS a iPadOS jsou iOS 26.2 a iPadOS 26.2, plus iOS 18.7.3 a iPadOS 18.7.3 pro starší modely.

Týkají se iPhonů od XS výše, iPadů posledních generací a kompatibilních iPadů mini. V systému macOS Tahoe 26.2 se aktualizace týká Macs s touto verzí.

• tvOS 26.2: Apple HD a 4K TV všechny modely.
• watchOS 26.2: Apple Watch Series 6 a novější.
• visionOS 26.2: Todos modely Apple Vision Pro.
• Safari 26.2: Macs s macOS Sonoma nebo Sequoia.

Uživatelé dostávají aktualizace automaticky nebo je mohou nainstalovat ručně z nastavení softwaru.

Kontext průzkumů zero-day v roce 2025

S těmito opravami Apple dosáhne devíti zranitelností zero-day zneužitých v roce. Anteriormente společnost opravila nedostatky, jako jsou CVE-2025-24085, CVE-2025-24200 a CVE-2025-24201 na začátku roku 2025.

Mezi další patřily CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 a CVE-2025-43300. Muitas z nich zahrnovalo komponenty jako Kernel nebo ImageIO.

Frekvence nultých dnů odráží zájem pokročilých útočníků o ekosystémy Apple. Colaborações se skupinami jako Google TAG pomohly rychle odhalit tyto hrozby.

Tyto incidenty zdůrazňují důležitost pravidelných aktualizací na mobilních a stolních zařízeních.

Technické vlastnosti WebKitu

WebKit slouží jako open-source renderovací engine používaný v Safari. V systémech iOS a iPadOS jsou na něm z důvodu bezpečnostních omezení závislé všechny prohlížeče třetích stran, včetně Chrome, Edge a Firefox.

Díky tomu jsou chyby WebKit zvláště důležité pro uživatele Apple. Ataques dokáže využívat alternativní prohlížeče bez potřeby škodlivých aplikací.

Leia Tambem

Colby Minifie potvrzuje schopnosti Ashley Barrett v páté sezóně The Boys

Nový test baterie staví Galaxy S26 Ultra před iPhone 17 Pro Max v celosvětovém žebříčku

Digitální maloobchod snižuje hodnotu smartphonu Galaxy S25 5G bankovními bonusy a výměnou zařízení

Knihovna ANGLE, zapojená do CVE-2025-14174, zpracovává grafiku WebGL. Problemas v této vrstvě ovlivňuje vykreslování na více platformách.

Vylepšení správy paměti řeší hlášené pády.

Spolupráce mezi Apple a Google

Společný objev odráží koordinaci mezi bezpečnostními týmy. Google TAG a Apple SEAR spolupracovaly na identifikaci CVE-2025-14174.

Google poprvé opravil plochu Chrome 10. prosince. Apple následoval s rozsáhlými aktualizacemi o dva dny později.

Toto partnerství urychluje reakce na sdílené hrozby v open source komponentách. Explorações doporučuje použití v žoldáckých spywarových kampaních.

Další opravy ve stejné aktualizaci

Aktualizace zahrnují opravy více než 20 dalších chyb v různých komponentách. Problemas v Kernel, jako přetečení celého čísla, může umožnit eskalaci oprávnění.

Chyby v rámcích, jako je FaceTime, Messages a App Store, také dostávají opravy. Algumas zahrnoval nesprávný přístup k citlivým údajům.

• CVE-2025-46285: Overflow na Kernel s kořenovým potenciálem.
• Problémy na Screen Time odhalující historii procházení.
• Opravy v curl a dalších síťových modulech.

Tato obecná vylepšení posilují celkovou bezpečnost systémů.

Doporučení pro uživatele

Odborníci doporučují okamžitou instalaci dostupných aktualizací. Na iPhonu nebo iPadu přejděte na Ajustes > Geral > Atualização z Software.

Na Macs použijte Preferências z Sistema nebo Configurações ke kontrole aktualizací. Starší Dispositivos dostávají rozšířené verze podpory, jako je iOS 18.7.3.

Udržování pravidelných záloh doplňuje ochranná opatření. Evitar podezřelé odkazy snižují riziko zneužití prostřednictvím webu. US Agência z Cibersegurança přidalo jednu z chyb do katalogu známých zneužitých zranitelností.

Vývoj hrozeb pro zařízení Apple

Využití nedostatků ve WebKitu zůstává běžné při cílených útocích. V předchozích letech podobné zranitelnosti usnadňovaly instalaci sledovacích nástrojů.

Rychlá reakce Apple omezuje dopad těchto kampaní. Zaměření na sofistikované útoky ukazuje na vysoce sledované cíle, jako jsou novináři nebo aktivisté.

Nepřetržité monitorování interními a externími týmy udržuje detekci efektivní.