Posljednjih nekoliko sedmica ponovo je stavljeno u fokus WebKit i zero-day kvarovi utičući na Apple uređaje. Dvije kritične ranjivosti u rendering engine-u, koje su već iskorištene u praksi, prisilile su kompaniju da objavi niz hitnih zakrpa za praktično cijeli svoj ekosistem.
Ovi kvarovi, identifikovani kao CVE-2025-43529 i CVE-2025-14174Ove ranjivosti su korištene u visoko ciljanim napadima na mali broj žrtava, uglavnom ranjivih korisnika. Način na koji se iskorištavaju - jednostavno učitavanje zlonamjerne stranice - još jednom jasno pokazuje da preglednik ostaje jedna od preferiranih ulaznih tačaka za modernu sajber špijunažu.
Šta se dogodilo sa WebKit zero-day neuspjesima?
Apple je lansirao 12. decembra sigurnosna ažuriranja izvan ciklusa za iOS, iPadOS, macOS, tvOS, watchOSVisionOS i Safari, nakon što su potvrdili da se dvije zero-day ranjivosti u WebKitu iskorištavaju "u divljini". To nisu bile samo teorijske greške, već ranjivosti koje su već integrirane u lance iskorištavanja u stvarnom svijetu.
Prvi, CVE-2025-43529, to je greška tipa upotreba nakon-besplatna U WebKitu, zloupotreba oslobođene memorije može omogućiti napadaču da izvrši proizvoljni kod na kompromitovanom uređaju jednostavnim navođenjem žrtve da posjeti web stranicu dizajniranu za iskorištavanje greške.
Drugi, CVE-2025-14174Ocijenjen je CVSS rezultatom 8,8 i povezan je sa oštećenje pamćenja tokom obrade posebno dizajniranog web sadržaja. Praktični uticaj je sličan: otvaranje vrata izvršavanju zlonamjernog koda i preuzimanju uređaja, uz minimalnu interakciju korisnika.
Apple priznaje da su ove mane iskorištene u "visoko sofisticirani" napadi na vrlo specifične ciljeve koji je koristio verzije iOS-a prije iOS-a 26. Iako nije javno objavljeno ko stoji iza toga, tehnički nivo i odabir žrtava ukazuju na scenarije naprednog nadzora i mogućeg plaćeničkog špijunskog softvera.
Obje ranjivosti mogu biti aktivirane jednostavnim renderiranje web sadržaja, bez potrebe za instaliranjem aplikacija trećih strana ili da korisnik uradi bilo šta osim otvaranja linka, što značajno proširuje površinu napada.
Apple i Google sarađuju na zero-day detekciji
Jedan upečatljiv element ove epizode je koordinacija između Appleovog sigurnosnog inženjeringa i arhitekture i Google grupa za analizu prijetnji (TAG)Čini se da su dva tima otkrila ranjivosti, što odražava neobičan, ali sve potrebniji zajednički napor u suočavanju s kampanjama na visokom nivou.
Google ga je već zakrpio 10. decembra. ista ranjivost CVE-2025-14174 u Chromeu, gdje se manifestirao kao problem pristupa memoriji izvan granica u ANGLEAngle, grafička biblioteka otvorenog koda koja prevodi grafiku, zahtijeva različite pozadinske programe, uključujući Metal. Činjenica da se Angle koristi u svim područjima sugerira eksploataciju. više preglednika i više platforminije izolovani kvar jednog proizvoda.
Kada Apple objavi vlastitu zakrpu samo dva dana kasnije, postaje jasno da Ista osnovna slabost uticala je i na Chrome i na WebKit.To implicira da su napadači imali iskorištavanje sposobno za prelazak granica između ekosistema, što je posebno zabrinjavajuće kada su mete visokoprofilirani korisnici.
Iz perspektive Evrope i Španije, gdje je kombinovana upotreba Google usluga i Apple uređaja veoma uobičajena, ova vrsta iskorištavanja dijeljena između motora To povećava rizik za novinare, aktiviste, menadžere ili zvaničnike koji svakodnevno prelaze između platformi.
Uloga Google TAG-a, tima specijaliziranog za praćenje napredni akteri prijetnji i potencijalno akteri koje sponzorira državaOvo pojačava hipotezu da se ne radi o oportunističkom kriminalu, već o vrlo specifičnim operacijama nadzora.
Koji Apple uređaji su pogođeni i koje verzije rješavaju problem
Dva nulta rasjeda direktno utiču WebKit, pretraživački mehanizam u srcu Safarija i mnoge aplikacije koje prikazuju web sadržaj na Apple sistemima. Od iOS i iPadOS Svi preglednici, uključujući Chrome, Edge i Firefox, moraju koristiti WebKit; svaka ranjivost u ovoj komponenti utiče na pregledavanje sadržaja na ovim platformama.
Apple je objavio korekcije za veoma široku listu uređajaOvo uključuje sve, od relativno novijih mobilnih telefona do desktop računara i novih proizvoda poput Vision Pro. Pogođeni hardver uključuje, između ostalog:
- iPhone 11 i novije verzijeuključujući najnovije iPhone telefone dostupne na evropskom i španskom tržištu.
- iPad Pro 12,9 inča (treća generacija i novije) i 11 inča (prva generacija i novije).
- iPad Air od treće generacije nadalje, iPad osma generacija i kasnije i iPad mini od pete generacije nadalje.
- Timovi sa macOS Tahoe, kao i uređaji sa tvOS, watchOS i visionOS kompatibilan.
Da bi popunila ove praznine, kompanija je uvela ažuriranja kao što su iOS 26.2 e iPadOS 26.2 za najnovije modele i proširene verzije podrške kao što su iOS 18.7.3 i iPadOS 18.7.3 za starije uređaje koji su i dalje vrlo uobičajeni u domovima i preduzećima u Španiji i ostatku Evrope.
Na računaru se korekcija postiže putem macOS Tahoe 26.2, U pratnji Safari 26.2 za sisteme koji koriste macOS Sonoma ili Sequoia. Zakrpa se dovršava sa tvOS 26.2 (Apple TV HD i svi Apple TV 4K modeli), watchOS 26.2 (Apple Watch Series 6 i noviji) i visionOS 26.2 za Apple Vision Pro.
U svim slučajevima, Potvrđeni propust je uočen u verzijama prije iOS-a 26.Međutim, Apple preporučuje da svi korisnici - čak i oni koji nisu direktno ciljani - instaliraju ažuriranja što je prije moguće kako bi spriječili buduće kampanje koje ponovo koriste ili razvijaju ove vektore napada.
Kako web exploiti funkcionišu i zašto je WebKit tako atraktivna meta
WebKit je projekat otvorenog koda koji služi kao Safari mehanizam za renderiranje WebKit se koristi na macOS-u, iOS-u i iPadOS-u, a također je integriran u mnoge aplikacije za prikaz internih web prikaza. Prema Appleovom dizajnu, svi preglednici trećih strana na iPhoneu i iPadu oslanjaju se na WebKit, što ovu komponentu čini jedinstvenom tačkom kvara s ogromnim potencijalom.
Greške kao što su CVE-2025-43529, tipa upotreba nakon-besplatna, y CVE-2025-14174Ovi napadi, povezani s oštećenjem memorije, aktiviraju se prilikom obrade zlonamjernog web sadržaja: slika, skripti, WebGL grafičkih elemenata ili pažljivo izrađenih HTML struktura. Napadač priprema stranicu koja prisiljava mehanizam da nepravilno obrađuje memoriju i odatle gradi lanac iskorištavanja kako bi... izvršiti kod s privilegijama kompromitovanog procesa.
U mnogim slučajevima, prvi korak je izlazak iz sandboxa preglednikaTo jest, probijanje barijera koje sprječavaju zlonamjerni kod da pristupi ostatku sistema. Kada ova barijera padne, napadač može povezati druge propuste - na primjer, u kernelu ili u sistemskim uslugama - kako bi povećao privilegije i stekao gotovo potpunu kontrolu nad uređajem.
Implikacija ANGLE i WebGL CVE-2025-14174 dodaje još jedan sloj složenosti. ANGLE djeluje kao posrednik između preglednika i osnovnih grafičkih API-ja (Metal u Appleovom slučaju), a bilo kakvi problemi s ovom komponentom mogu utjecati na način prikazivanja grafike na više platformi. Za napadače, ovo otvara mogućnost... šira eksploatacija, koji pokriva i Safari i Chrome na različitim sistemima.
U praksi, korisnik samo treba posjetite posvećenu web stranicuKlikanje na link u e-poruci ili poruci, ili učitavanje ugrađenog sadržaja u aplikaciju, ono je što aktivira iskorištavanje. Zbog toga su ovi napadi tako tihi i opasni, posebno za ljude koji rukuju osjetljivim informacijama na svojim mobilnim telefonima ili laptopima.
Godina puna nultih dana za Apple
Ispravke za CVE-2025-43529 i CVE-2025-14174 dodaju se na rastuću listu Zero-day ranjivosti iskorištene 2025. godine protiv Apple platformi. S ovim dvjema presudama, kompanija priznaje da je već riješila devet zero-day događaja korištenih u stvarnim napadima tokom cijele godine.
Gore navedene ranjivosti uključuju reference kao što su CVE-2025-24085, CVE-2025-24200 i CVE-2025-24201, zajedno s drugima kao što su CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 i CVE-2025-43300Mnogi od njih su uticali na komponente od visoke strateške vrijednosti, kao što su sistemsko jezgro ili ImageIO, koji se bave operacijama niskog nivoa i privilegovanim pristupom resursima.
Ovaj niz zakrpa jasno pokazuje da Napredniji akteri prijetnji ulažu velika sredstva u pronalaženje i povezivanje ranjivosti u navigacijskim mehanizmima i procesima renderiranja.Cilj je zaobići zaštitu sandboxa, infiltrirati se u uređaj bez izazivanja sumnje i održati postojanost dovoljno dugo da se izvuku podaci ili izvrši nadzor.
Ovo nije izolovan fenomen na drugim tržištima: u evropskim poslovnim okruženjima, posebno u javnim upravama i velikim kompanijama, politike su uključene da brza ažuriranja i centralizirano upravljanje zakrpama upravo da bi se pokušao zatvoriti taj "prozor mogućnosti" koji postoji između početnog iskorištavanja ranjivosti i njenog ispravljanja na svim sistemima.
Uključivanje nekih od ovih nedostataka u Katalog poznatih iskorištenih ranjivosti američke agencije za kibernetičku sigurnost (CISA) Služi kao globalno upozorenje: regulatorna tijela i nacionalni CERT-ovi u Evropi često pažljivo prate ove liste kako bi dali prioritet upozorenjima i preporukama preduzećima i građanima.
Druge sigurnosne ispravke koje dolaze u istom paketu
Ažuriranja koja ublažavaju zero-day ranjivosti WebKita nisu ograničena na ova dva CVE-a. Apple ih uključuje u istu seriju. zakrpe za više od dvadeset dodatnih ranjivosti u različitim komponentama sistema, od jezgra operativnog sistema do komunikacijskih servisa.
Na strani kernelProblemi kao što su CVE-2025-46285, prekoračenje cijelog broja koje bi moglo dozvoliti eskalirajte privilegije na root nivo Pod određenim uslovima. Mrežni moduli i biblioteke su takođe ojačani, kao što je curlsmanjenje rizika od napada koji zloupotrebljavaju veze ili prijenos podataka.
Druge ispravke utiču na usluge koje se svakodnevno koriste, kao što su FaceTime, Poruke ili App StoreU nekim slučajevima, nedostaci su omogućavali nepravilan pristup osjetljivim korisničkim informacijama, kao što su kontakti, historija komunikacije ili podaci pregledavanja, s posljedičnim utjecajem na privatnost.
Skup promjena naglašava da, iako je pažnja javnosti usmjerena na zero-day ranjivosti WebKita, stvarna površina napada je mnogo širaZa napadača s resursima, kombinovanje iskorištavanja preglednika sa eskalacijom privilegija kernela ili ranjivošću sistemske usluge može biti najefikasniji način za postizanje potpunog upada.
U evropskom kontekstu, gdje propisi poput Opšta uredba o zaštiti podataka (RGPD) Oni nameću stroge obaveze u pogledu sigurnosti informacija; ignorisanje ovakvih ažuriranja može dovesti ne samo do tehničkih incidenata, već i do pravnih i reputacijskih posljedica za kompanije i javna tijela.
Praktične preporuke za korisnike i organizacije
Stručnjaci za kibernetičku sigurnost slažu se da, suočeni s aktivno iskorištavanje zero-day grešakaNajefikasnija mjera je što prije primijeniti flastere. Na uređajima poput iPhone ili iPadu, postupak je jednostavan: samo idite na Postavke> Općenito> Ažuriranje softvera i provjerite da li je nova verzija već dostupna.
U slučaju Mac računara, ruta ide kroz Sistemske postavke (ili Postavke sistema) > Ažuriranje softveraMnogi uređaji u Španiji i ostatku Evrope imaju omogućena automatska ažuriranja, ali je i dalje dobra ideja ručno provjeriti da li je instalacija završena i da li sistem koristi verzije koje je spomenuo Apple.
Za organizacije s velikim voznim parkom – od malih i srednjih preduzeća do javne uprave – stručnjaci preporučuju oslanjaju se na MDM rješenja (Upravljanje mobilnim uređajima) kako bi se prisilile instalacije zakrpa, spriječila kašnjenja od strane korisnika i svako odlaganje tretiralo kao stvarna ranjivost. U scenarijima visokog rizika, svaki dodatni dan bez ažuriranja može se pretvoriti u priliku za napadače.
Kao komplementarne mjere, ostaje ključno redovno održavajte sigurnosne kopijePregledajte dozvole aplikacija, ograničite upotrebu zastarjelih preglednika i budite izuzetno oprezni sa sumnjivim linkovima ili prilozima e-pošte. Iako su zlonamjerne web stranice primarni vektor u ovom slučaju, distribucija linkova putem e-pošte, poruka ili društvenih mreža ostaje uobičajena početna tačka.
Vlasti za sajber sigurnost i nacionalni CERT-ovi u Evropi obično izdaju upozorenja kada se ranjivost doda u kataloge aktivno iskorištenih nedostataka, služeći kao dodatni podsjetnik za preduzeća i krajnje korisnike. Ne odlažite ažuriranja..
Nedavna epizoda WebKit zero-day ranjivosti pojačava ideju koja se pojavljivala posljednjih godina: Najopasniji napadi rijetko počinju očiglednim prilogom ili sumnjivom aplikacijom.već naizgled nevinom posjetom web stranici. U kontekstu gdje Apple i Google moraju koordinirati kako bi istovremeno zatvorili istu grešku, i gdje se nekoliko zero-day propusta već nakupilo u jednoj godini, ažuriranje iPhonea, iPada, Macova i drugih uređaja prešlo je put od opće preporuke do osnovne potrebe digitalne sigurnosti, kako za pojedinačne korisnike tako i za kompanije u Španiji i širom Evrope.
