Критическая уязвимость в WebKit угрожает миллионам устройств: от iPhone до российской ОС Astra Linux

Банк данных угроз безопасности информации (BDU) опубликовал информацию о критической уязвимости в движке WebKit, который является основой для множества браузеров и операционных систем. Уязвимость, получившая идентификаторы BDU:2026-03007 и CVE-2025-43419, связана с выходом операции за границы буфера в памяти (CWE-119). Эта ошибка позволяет удаленному злоумышленнику, например, через специально созданную веб-страницу, получить доступ к конфиденциальным данным, нарушить их целостность или вызвать полный отказ в обслуживании атакуемого приложения или системы.

Детали уязвимости

Согласно данным BDU, уязвимость затрагивает широкий спектр программного обеспечения. В частности, под ударом оказались открытые проекты WebKitGTK и WPE WebKit версий до 2.50.0. Кроме того, практически вся экосистема Apple, включая браузер Safari до версии 26.0, а также операционные системы iOS, iPadOS, tvOS, watchOS и visionOS, также содержат опасный код. Важно отметить, что уязвимость подтверждена и российской операционной системой Astra Linux Special Edition 1.8, которая входит в единый реестр российских программ под номером 369. Следовательно, угроза носит глобальный характер и затрагивает как международные, так и отечественные продукты.

Эксперты оценивают опасность уязвимости как критическую. Базовый балл по шкале CVSS 2.0 достигает максимального значения 10.0, что указывает на чрезвычайную серьезность угрозы. Более современная метрика CVSS 3.1 присваивает уязвимости высокий уровень опасности с баллом 8.8. Высокие оценки обусловлены тем, что для эксплуатации уязвимости не требуется никаких специальных привилегий или сложных условий атаки. Теоретически, посещение пользователем вредоносного сайта может привести к утечке данных, хранящихся в браузере, или к аварийному завершению работы приложения.

К счастью, производители уже отреагировали на обнаруженную проблему. Сообщество разработчиков WebKit выпустило исправления, подробности которых опубликованы в бюллетене безопасности WSA-2025-0008. Компания Apple в своих обновлениях до версий 26.0 и выше также устранила эту ошибку. Пользователям macOS, iPhone, iPad и других устройств Apple необходимо убедиться, что на их устройствах установлены последние доступные обновления программного обеспечения. Аналогичные меры должны принять и администраторы систем на базе Astra Linux Special Edition. Им требуется обновить пакет "webkit2gtk" до версии 2.50.4-1~deb12u1 или новее, следуя официальным рекомендациям разработчика.

На текущий момент нет подтвержденных данных об активной эксплуатации этой уязвимости. Однако, учитывая ее критический характер и широкую распространенность уязвимого кода, эксперты по кибербезопасности настоятельно рекомендуют не откладывать установку обновлений. Задержка с патчингом создает окно возможностей для злоумышленников, которые могут разработать и использовать эксплойт. Особенно это актуально для корпоративных сред, где уязвимость в компоненте отображения веб-страниц может стать начальной точкой для более сложной цепочки атаки.

Таким образом, уязвимость CVE-2025-43419 служит очередным напоминанием о важности своевременного обновления программного обеспечения. Поскольку WebKit является фундаментальным компонентом для рендеринга интернет-контента, его безопасность напрямую влияет на общую защищенность устройства. Пользователям и системным администраторам следует оперативно применять предоставленные производителями патчи, чтобы минимизировать риски компрометации данных и обеспечения устойчивости работы систем.

Детали уязвимости

Ссылки