Банк данных угроз (BDU) опубликовал информацию о новой критической уязвимости, затрагивающей ключевые компоненты для отображения веб-контента. Уязвимость, зарегистрированная под идентификатором BDU:2026-03300 (CVE-2025-43431), существует в движках WPE WebKit и WebKitGTK. Этот движок лежит в основе многих браузеров и приложений. Соответственно, проблема затрагивает широкий спектр операционных систем, включая всю линейку продуктов Apple и российскую специальную ОС Astra Linux.
Детали уязвимости
Суть уязвимости, получившей глобальный идентификатор CVE-2025-43431, заключается в ошибке типа "запись за границами буфера" (CWE-787). Проще говоря, это нарушение правил работы с памятью. В результате злоумышленник может выйти за пределы выделенного для данных участка памяти. Удалённый нарушитель, используя специально созданную веб-страницу, потенциально может получить доступ к конфиденциальной информации пользователя. Кроме того, он способен нарушить целостность данных или вызвать сбой в работе приложения, что классифицируется как отказ в обслуживании (DOS).
Оценка по системе CVSS подчёркивает серьёзность угрозы. По версии CVSS 2.0 уязвимость получила максимально возможные 10 баллов, что соответствует критическому уровню опасности. Более современная метрика CVSS 3.1 присваивает ей 8.8 балла, что также классифицируется как высокий уровень опасности. Важно отметить, что для эксплуатации уязвимости требуется участие пользователя, например, переход по вредоносной ссылке. Однако сложность атаки оценивается как низкая, а права доступа для её проведения не требуются.
Список затронутого программного обеспечения внушителен и охватывает продукты различных вендоров. В первую очередь, уязвимости подвержены все основные операционные системы Apple, включая iOS, iPadOS, watchOS, visionOS и tvOS, версии которых старше 26.1. Также под угрозой находится браузер Safari для macOS. С другой стороны, проблема затрагивает и российскую разработку - операционную систему Astra Linux Special Edition 1.8. Это происходит из-за использования в её составе уязвимых библиотек WebKitGTK. Помимо этого, напрямую затронуты сами открытые компоненты WPE WebKit и WebKitGTK версий ниже 2.50.2.
Производители уже отреагировали на обнаруженную проблему и выпустили обновления безопасности. Сообщество разработчиков WebKitGTK опубликовало бюллетень WSA-2025-0008, содержащий исправления. Компания Apple в своих рекомендациях призывает пользователей обновить устройства до актуальных версий операционных систем. В частности, для Astra Linux необходимо обновить пакет "webkit2gtk" до версии 2.50.4-1~deb12u1 или выше. Инструкции доступны на официальном портале разработчика.
Эксперты по кибербезопасности отмечают, что уязвимости в WebKit традиционно привлекают внимание злоумышленников. Дело в том, что этот движок используется повсеместно. Следовательно, успешная эксплуатация одной ошибки может открыть доступ к огромному количеству устройств. На данный момент информация о наличии активных эксплойтов, то есть готовых вредоносных программ, уточняется. Однако из-за критического характера уязвимости появление таких программ в ближайшее время считается весьма вероятным.
Рекомендации для пользователей и системных администраторов однозначны. Необходимо как можно скорее установить все предоставленные производителями обновления безопасности. Владельцам устройств Apple следует проверить доступность обновлений в настройках. Администраторам систем на базе Astra Linux нужно обновить соответствующие пакеты через официальные репозитории. Своевременное обновление программного обеспечения остаётся наиболее эффективной мерой защиты. Эта мера позволяет устранить уязвимость до того, как ею смогут воспользоваться киберпреступники.
Данный инцидент в очередной раз демонстрирует глобальную взаимосвязность современного программного обеспечения. Ошибка в открытом компоненте, разрабатываемом международным сообществом, может одновременно повлиять на коммерческие продукты гиганта вроде Apple и на специализированную государственную ОС, такую как Astra Linux. Поэтому мониторинг источников, подобных Банку данных угроз, и оперативное применение исправлений критически важны для обеспечения безопасности в любой экосистеме.
Ссылки
- https://bdu.fstec.ru/vul/2026-03300
- https://www.cve.org/CVERecord?id=CVE-2025-43431
- https://github.com/WebKit/WebKit/pull/53963
- https://nvd.nist.gov/vuln/detail/CVE-2025-43431
- https://security-tracker.debian.org/tracker/CVE-2025-43431
- https://webkitgtk.org/security/WSA-2025-0008.html
- https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
- https://support.apple.com/en-us/125632
- https://support.apple.com/en-us/125633
- https://support.apple.com/en-us/125634
- https://support.apple.com/en-us/125637
- https://support.apple.com/en-us/125638
- https://support.apple.com/en-us/125639
- https://support.apple.com/en-us/125640
