В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, получившая идентификатор BDU:2025-15542. Эта уязвимость затрагивает ядро WebKit, которое используется браузером Safari и многими другими приложениями для отображения веб-контента. Эксперты присвоили ей высший уровень опасности из-за максимальных оценок по шкалам CVSS 2.0 и 3.1, составляющих 10.0 и 9.8 баллов соответственно.
Детали уязвимости
Суть проблемы заключается в недостаточной проверке вводимых данных (CWE-20). Злоумышленник может эксплуатировать эту уязвимость удалённо, без необходимости аутентификации и взаимодействия с пользователем. В результате успешной атаки нарушитель получает возможность воздействовать на конфиденциальность, целостность и доступность информации на уязвимом устройстве. Проще говоря, это может привести к полному компрометированию системы.
Сфера воздействия уязвимости необычайно широка. Прежде всего, под угрозой оказалась вся экосистема Apple. В список уязвимого программного обеспечения попали iOS до версии 18.7 и до версии 26, iPadOS до 18.7, macOS до 26.0, tvOS до 26.0, visionOS до 26.0 и watchOS до 26.0. Также критически уязвимы автономный браузер Safari до версии 26.0 и компонент WebKit до версии 2.48.7.
Важно отметить, что проблема вышла далеко за предеры продукции Apple. Уязвимость также присутствует в WebKitGTK и WPE WebKit, которые используются в качестве движков для веб-просмотра во многих дистрибутивах Linux. Следовательно, под угрозой оказались популярные операционные системы, включая Debian GNU/Linux версий 11, 12 и 13, Ubuntu версий 22.04 LTS, 24.04 LTS, 25.04 и 25.10. Кроме того, в перечень попала российская операционная система Astra Linux Special Edition версии 1.8, что подчёркивает кросс-платформенный характер угрозы.
На момент публикации новости наличие работающего эксплойта (вредоносного кода, использующего уязвимость) уточняется. Однако высочайший рейтинг опасности указывает на то, что эксплуатация вероятна. Основным способом атаки является манипулирование ресурсами, что может происходить при посещении пользователем специально созданной вредоносной веб-страницы.
К счастью, уязвимость уже подтверждена производителями и устранена. Компания Apple выпустила необходимые обновления безопасности. Пользователям всех устройств Apple настоятельно рекомендуется немедленно установить последние доступные обновления программного обеспечения через настройки системы. Владельцам Linux-систем необходимо обновить пакеты, связанные с WebKitGTK или WPE WebKit, до версии 2.48.7 или выше.
Для дистрибутивов на базе Debian и Ubuntu ссылки на страницы безопасности уже опубликованы. Разработчики Astra Linux также выпустили бюллетень, в котором рекомендуют обновить пакет webkit2gtk до версии 2.48.7-0ubuntu0.22.04.2.astra1. В условиях, если обновление от производителя временно недоступно, ФСТЭК России рекомендует следовать руководству по безопасной настройке операционных систем Linux.
Данный инцидент наглядно демонстрирует, как уязвимость в общем компоненте с открытым исходным кодом может создать волну рисков для абсолютно разных продуктов и платформ. Ответственность за безопасность ложится как на вендоров, оперативно выпускающих патчи, так и на конечных пользователей, которые должны своевременно применять эти обновления. Регулярное обновление программного обеспечения остаётся самым простым и эффективным способом защиты от подобных критических угроз.
Ссылки
- https://bdu.fstec.ru/vul/2025-15542
- https://www.cve.org/CVERecord?id=CVE-2025-43342
- https://github.com/WebKit/WebKit/commit/8b9fc1b8515151cca3a4a46b3b537ab81948bb61
- https://nvd.nist.gov/vuln/detail/CVE-2025-43342
- https://security-tracker.debian.org/tracker/CVE-2025-43342
- https://webkitgtk.org/security/WSA-2025-0006.html
- https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18
