Apple выпустила экстренные обновления безопасности для устранения двух уязвимостей нулевого дня, которые эксплуатировались в рамках «чрезвычайно сложной атаки», нацеленной на конкретных пользователей.
Уязвимости получили идентификаторы CVE-2025-43529 и CVE-2025-14174. Обе были устранены в ответ на сообщения об их активной эксплуатации в рамках одной и той же кампании.
В бюллетене безопасности Apple сообщается:
Apple известно о сообщении, согласно которому эта проблема могла использоваться в чрезвычайно сложной атаке против отдельных целевых пользователей на версиях iOS до iOS 26.
Уязвимость CVE-2025-43529 представляет собой ошибку использования данных после освобождения памяти в движке WebKit, позволяющую удаленно выполнить произвольный код при обработке специально сформированного вредоносного веб-контента. Уязвимость была обнаружена группой Threat Analysis Group компании Google.
Уязвимость CVE-2025-14174 также связана с WebKit и относится к классу повреждения памяти, что потенциально может приводить к ее некорректной обработке. Эта проблема была выявлена совместно специалистами Apple и Google Threat Analysis Group.
Обе уязвимости затрагивают следующие устройства:
- iPhone 11 и новее
- iPad Pro 12,9 дюйма (3-е поколение и новее)
- iPad Pro 11 дюймов (1-е поколение и новее)
- iPad Air (3-е поколение и новее)
- iPad (8-е поколение и новее)
- iPad mini (5-е поколение и новее)
Apple устранила данные проблемы в обновлениях iOS 26.2 и iPadOS 26.2, iOS 18.7.3 и iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2, а также в Safari 26.2.
Недавно Google также закрыл загадочную уязвимость нулевого дня в Google Chrome, первоначально обозначив ее как «[N/A][466192044] High: Under coordination».
Позже Google обновил уведомление, указав, что речь идет об уязвимости CVE-2025-14174: выход за пределы памяти в ANGLE. Проблема с таким же СМУ была исправлена Apple, что указывает на скоординированное раскрытие информации между двумя компаниями.
Apple не раскрыла технических деталей атак, ограничившись сообщением о том, что они были направлены против конкретных лиц, использовавших версии iOS до iOS 26.
Поскольку обе уязвимости затрагивают WebKit — движок, который используется Google Chrome на iOS, — подобная активность соответствует характеру таргетированных атак с применением шпионского ПО.
Хотя эксплуатация уязвимостей была зафиксирована только в целевых атаках, пользователям настоятельно рекомендуется как можно скорее установить последние обновления безопасности, чтобы снизить риск дальнейшей эксплуатации.
С учетом этих исправлений Apple в 2025 году устранила семь уязвимостей нулевого дня, которые использовались в реальных атаках. Ранее были устранены CVE-2025-24085 в январе, CVE-2025-24200 в феврале, CVE-2025-24201 в марте, а также две уязвимости в апреле — CVE-2025-31200 и CVE-2025-31201.
Кроме того, в сентябре Apple выпустила бэкпорт исправления для уязвимости нулевого дня CVE-2025-43300 на более старые устройства под управлением iOS 15.8.5 / 16.7.12 и iPadOS 15.8.5 / 16.7.12.
Угрозы безопасности
• Apple устранила две уязвимости нулевого дня, которые использовались в таргетированных атаках
• ChimeraWire: новый троян, который имитирует поведение пользователей для раскрутки сайтов
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак