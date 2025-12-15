Компания Apple выпустила экстренные патчи, которые исправляют две уязвимости нулевого дня. Разработчики предупредили, что эти баги уже использовались в «чрезвычайно изощренной атаке», нацеленной на конкретных людей.

Проблемы получили идентификаторы CVE-2025-43529 (пока не имеет оценки по шкале CVSS) и CVE-2025-14174 (8,8 балла по шкале CVSS). Эксплуатация обеих уязвимостей связана с одним и тем же инцидентом, о котором Apple стало известно от сторонних ИБ-специалистов.

CVE-2025-43529 представляет собой use-after-free уязвимость в WebKit, которая позволяет удаленно выполнить код при обработке специально подготовленного веб-контента. По данным Apple, проблему обнаружила команда Google Threat Analysis Group (TAG).

CVE-2025-14174 — еще один баг в WebKit, связанный с повреждением памяти (memory corruption). Эту уязвимость совместно выявили собственные специалисты Apple и Google TAG.

Сообщается, что проблемы угрожают следующим устройствам:

iPhone 11 и новее;

iPad Pro 12,9 дюйма (третье поколение и новее);

iPad Pro 11 дюймов (первое поколение и новее);

iPad Air (третье поколение и новее);

iPad (восьмое поколение и новее);

iPad mini (пятое поколение и новее).

Apple исправила обе проблемы в составе iOS 26.2 и iPadOS 26.2; iOS 18.7.3 и iPadOS 18.7.3; macOS Tahoe 26.2; tvOS 26.2; watchOS 26.2; visionOS 26.2 и Safari 26.2.

Отметим, что на прошлой неделе компания Google выпустила патч для загадочной 0-day в Chrome, которая изначально даже не имела идентификатора CVE. Позже компания обновила свой бюллетень безопасности, указав в нем идентификатор CVE-2025-14174 и описание «Out-of-bounds memory access in ANGLE». Это тот же CVE, исправления для которого подготовила Apple, что указывает на скоординированный выпуск патчей и раскрытие информации.

Специалисты Apple не раскрывают никаких технических подробностей об атаках, лишь сообщая, что они были направлены против конкретных людей, использовавших iOS вплоть до версии 26. Поскольку обе уязвимости затрагивают WebKit (который Google Chrome использует в iOS), характер атак соответствует целевым кампаниям с применением шпионского ПО.

Хотя уязвимости применялась только в таргетированных атаках, пользователям настоятельно рекомендуется как можно скорее установить последние обновления, чтобы снизить риски дальнейшей эксплуатации.

С учетом новых патчей, в 2025 году Apple исправила девять 0-day-уязвимостей, которые использовались в реальных атаках. Так, в январе текущего года была исправлена CVE-2025-24085, в феврале — CVE-2025-24200, в марте — CVE-2025-24201. Затем были устранены сразу две проблемы в апреле — CVE-2025-31200 и CVE-2025-31201. В июне была исправлена CVE-2025-43200, а в августе — CVE-2025-43300.