Компания Apple выпустила экстренные обновления безопасности для устранения двух уязвимостей нулевого дня, которые были активно использованы в целевых атаках в 2025 году. Эти уязвимости затрагивают движок WebKit, используемый в браузере Safari и всеми браузерами на iOS, что создает высокий риск заражения при посещении вредоносных сайтов. Атаки носили характер «очень сложных» и были ориентированы на конкретных пользователей, что указывает на использование шпионских программ, а не массового киберпреступления.
Детали уязвимостей и их влияние
Обнаруженные уязвимости получили обозначения CVE-2025-43529 и CVE-2025-14174. Обе были эксплуатированы в реальных атаках, подтвержденных компанией Apple. Согласно их бюллетеню, уязвимости использовались в устройствах с версиями iOS, выпущенными до iOS 26, и были нацелены на «конкретных целевых лиц». Первая уязвимость — это уязвимость типа use-after-free в WebKit, которая позволяет злоумышленникам запускать произвольный код, обрабатывая вредоносный веб-контент. Вторая — связана с повреждением памяти, что в связке с другими уязвимостями может привести к полной компрометации устройства. Apple отметила, что обе уязвимости были обнаружены совместно с группой Threat Analysis Group компании Google и активно использовались злоумышленниками.
Меры устранения и поддержка устройств
Apple выпустила патчи для всех поддерживаемых операционных систем, включая iOS, iPadOS, macOS, Safari, watchOS, tvOS и visionOS. Обновления доступны под версиями: iOS 26.2, iPadOS 26.2, iOS 18.7.3, iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2 и visionOS 26.2. Также исправления внесены в браузер Safari 26.2, который использует WebKit, что делает уязвимость актуальной для всех браузеров на iOS, включая Chrome.
Ключевые устройства, подверженные риску
- iPhone 11 и новее
- Несколько поколений iPad Pro
- iPad Air 3-го поколения и новее
- iPad 8-го поколения и новее
- iPad mini 5-го поколения и новее
Рекомендации по защите и реакции пользователей
Apple советует пользователям немедленно устанавливать обновления, чтобы снизить риск эксплуатации уязвимостей. Важно активировать автоматические обновления на устройствах. Также рекомендуется избегать случайных ссылок в сообщения и не посещать подозрительные сайты, вводя адрес вручную. Установка антивирусных программ и использование режима Lockdown для особо целевых атак помогают повысить безопасность. Кроме того, уменьшение личных данных и использование сервисов по удалению информации из интернета снижают вероятность целевых атак.
Контекст и возможные последствия
Эти уязвимости подчеркивают растущую сложность современных киберугроз и необходимость своевременного обновления программного обеспечения. Атаки, ориентированные на журналистов, активистов и политических деятелей, свидетельствуют о продолжающемся использовании шпионских технологий государственными структурами и коммерческими группами. В 2025 году Apple уже исправила семь уязвимостей нулевого дня, активных в реальных атаках, что демонстрирует постоянную работу по повышению безопасности экосистемы.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты