Компания Apple выпустила срочные патчи безопасности для операционной системы iOS, устраняющие две активно эксплуатируемые уязвимости нулевого дня. Эти уязвимости затрагивают широкий спектр устройств iPhone и iPad. При этом корпорация подтвердила, что обе ошибки использовались в чрезвычайно сложных атаках на конкретных лиц
еще до выхода iOS 26.
Детали уязвимостей
Обнаруженные уязвимости, получившие идентификаторы CVE-2025-43529 и CVE-2025-14174, находятся в WebKit - движке браузера, который лежит в основе Safari и отвечает за отображение веб-контента внутри приложений. Важно отметить, что обе проблемы были выявлены экспертами группы Threat Analysis Group (Группа анализа угроз) компании Google, что подчеркивает изощренность атак. Более того, Apple официально признала факт активной эксплуатации, что указывает на критический характер этих уязвимостей.
Первая уязвимость, CVE-2025-43529, представляет собой ошибку типа use-after-free (использование после освобождения). Эта проблема может позволить злоумышленникам выполнить произвольный код через специально созданный вредоносный веб-контент. Для устранения данной уязвимости Apple улучшила механизмы управления памятью. Вторая ошибка, CVE-2025-14174, связана с повреждением памяти (memory corruption), которое может быть вызвано при обработке специально сконструированных веб-страниц. Компания устранила эту угрозу, усилив процедуры проверки входящих данных.
Подверженными воздействию признан широкий модельный ряд устройств Apple. В группу риска входят смартфоны iPhone 11 и более поздние модели. Помимо этого, уязвимости затрагивают множество планшетов iPad, включая iPad Pro 12,9-дюйма третьего поколения и новее, iPad Pro 11-дюйма первого поколения и новее, iPad Air третьего поколения и новее, iPad восьмого поколения и новее, а также iPad mini пятого поколения и новее.
Особую тревогу вызывает подтверждение Apple того, что эти уязвимости использовались в высокоцелевых атаках против конкретных лиц. Следовательно, подобная тактика может указывать на причастность государственных структур или групп продвинутых постоянных угроз (Advanced Persistent Threat, APT). Подобные акторы обычно обладают значительными ресурсами и нацелены на сбор конфиденциальной информации. Таким образом, обычные пользователи вряд ли станут мишенью, однако сам факт активной эксплуатации делает установку обновлений обязательной для всех.
Эксперты по кибербезопасности единодушно призывают владельцев затронутых устройств немедленно установить последнюю версию iOS. Установка актуальных обновлений является единственным надежным способом защиты от данных угроз. Процесс обновления прост: необходимо зайти в раздел "Основные" в настройках устройства, затем выбрать "Обновление ПО" и установить предложенную версию.
Данный инцидент наглядно демонстрирует эволюцию ландшафта угроз для пользователей мобильных устройств, особенно для тех, кто может считаться целью высокой ценности. Во-первых, атаки с использованием уязвимостей нулевого дня в компонентах, критичных для безопасности, таких как WebKit, являются мощным инструментом. Во-вторых, сложность и целевой характер атак подчеркивают необходимость постоянной бдительности даже в экосистеме, известной своей закрытостью. Несмотря на это, оперативное реагирование Apple и сотрудничество с исследователями из Google являются позитивным сигналом.
В заключение, выпуск критических патчей является важным напоминанием для всех пользователей технологий. Постоянно обновляемое программное обеспечение остается фундаментальным элементом цифровой гигиены. Следовательно, игнорирование уведомлений об обновлениях может привести к серьезным последствиям, даже если атака кажется высокоцелевой и далекой от обывателя. Текущая ситуация служит примером того, как быстро обнаруженные уязвимости могут быть внедрены в эксплуатацию злоумышленниками. Поэтому своевременная установка исправлений - это не просто рекомендация, а необходимое действие для обеспечения безопасности личных данных и устройства.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-14174
- https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html
- https://issues.chromium.org/issues/466192044
