В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, получившая идентификаторы BDU:2026-00005 и CVE-2025-43529. Данная ошибка затрагивает ядро отображения веб-контента WebKit, которое используется браузером Safari и всеми веб-представлениями в операционных системах Apple. Уязвимость классифицируется как "использование после освобождения" (Use-After-Free, CWE-416). Этот тип уязвимости возникает, когда программа продолжает использовать указатель на область памяти после её освобождения. В результате злоумышленник может манипулировать этими структурами данных для выполнения произвольного кода.
Детали уязвимости
Главная опасность заключается в масштабе угрозы. Уязвимость затрагивает практически все современные операционные системы компании: iOS до версий 18.7.3 и 26.2, iPadOS до тех же версий, macOS Tahoe до 26.2, а также watchOS, tvOS и visionOS. Кроме того, отдельно уязвима автономная версия браузера Safari для macOS. Таким образом, под угрозой находятся iPhone, iPad, Mac, Apple Watch, Apple TV и гарнитура Apple Vision Pro. Базовый вектор атаки оценивается в 10.0 по шкале CVSS 2.0 и в 8.8 по более современной шкале CVSS 3.1, что соответствует критическому и высокому уровню опасности соответственно.
Эксплуатация уязвимости позволяет удалённому злоумышленнику выполнить произвольный код и получить полный контроль над устройством. Для успешной атаки достаточно, чтобы пользователь посетил специально созданную вредоносную веб-страницу. При этом не требуется никаких дополнительных действий, таких как загрузка файла или ввод пароля. Следовательно, вектор атаки крайне прост и опасен. По данным из BDU, эксплойт для данной уязвимости уже существует, что резко повышает актуальность угрозы.
Производитель, компания Apple, подтвердила наличие проблемы и оперативно выпустила исправления. Уязвимость уже устранена во всех актуальных версиях ПО. Специалисты настоятельно рекомендуют всем пользователям немедленно обновить свои устройства. Для этого необходимо перейти в раздел "Настройки" -> "Основные" -> "Обновление ПО" на iPhone, iPad или Apple Watch. Владельцам Mac следует открыть "Системные настройки" -> "Обновление ПО". Критически важно установить следующие версии: iOS 18.7.3, iPadOS 18.7.3 или более поздние, включая мажорные обновления до iOS/iPadOS 26.2 и новее. Для macOS это версия Tahoe 26.2. Аналогичные обновления выпущены для watchOS, tvOS и visionOS.
Данный инцидент в очередной раз подчёркивает важность своевременной установки обновлений безопасности. Веб-браузеры, как и их движки, остаются одной из самых привлекательных целей для киберпреступников из-за своей сложности и прямого доступа к интернету. Уязвимости типа "использование после освобождения" являются классическими для языков программирования с ручным управлением памятью, таких как C и C++, на которых написан WebKit. Хотя Apple уже несколько лет развивает собственный безопасный язык Swift, миграция огромных legacy-кодовых баз происходит постепенно.
В заключение, текущая ситуация требует незамедлительных действий от пользователей экосистемы Apple. Установка последних обновлений - единственная эффективная мера защиты от потенциальных атак, использующих CVE-2025-43529. Игнорирование предупреждений может привести к полной компрометации устройства, краже конфиденциальных данных или установке вредоносного программного обеспечения, такого как программы-вымогатели (ransomware). Регулярное обновление программного обеспечения остаётся краеугольным камнем базовой кибергигиены в современном цифровом мире.
Ссылки
- https://bdu.fstec.ru/vul/2026-00005
- https://www.cve.org/CVERecord?id=CVE-2025-43529
- https://support.apple.com/en-us/125885
- https://support.apple.com/en-us/125889
- https://support.apple.com/en-us/125892
- https://support.apple.com/en-us/125884
- https://support.apple.com/en-us/125891
- https://support.apple.com/en-us/125886
- https://support.apple.com/en-us/125890
