В пятницу компания Apple выпустила серию критически важных обновлений безопасности, чтобы устранить две опасные уязвимости в движке WebKit, которые уже активно эксплуатируются злоумышленниками. Проблема затронула практически всю продуктовую линейку корпорации: обновления вышли для платформ iOS, iPadOS, macOS, tvOS, watchOS и visionOS, а также отдельно для веб-браузера Safari. Подтвержденный факт использования этих брешей в реальных атаках (in the wild) вынудил разработчиков действовать незамедлительно.
Первая уязвимость, получившая идентификатор CVE-2025-43529, была обнаружена специалистами группы анализа угроз Google Threat Analysis Group (TAG). Этот дефект классифицируется как ошибка типа Use-after-free (использование памяти после освобождения) в компоненте WebKit. Эксплуатация данной бреши позволяет злоумышленникам добиваться выполнения произвольного кода на устройстве жертвы в момент обработки специально созданного вредоносного веб-контента. На текущий момент точная оценка опасности по шкале CVSS для этой уязвимости не опубликована.
Вторая проблема, зарегистрированная под номером CVE-2025-14174, имеет высокую оценку тяжести 8.8 балла по шкале CVSS. Она локализуется в библиотеке Almost Native Graphics Layer Engine (ANGLE) внутри рендерера М⃰l, являющегося частью WebKit. Это ошибка повреждения памяти, связанная с выходом за границы допустимого диапазона (out-of-bounds memory access), что также приводит к компрометации системы при загрузке вредоносных веб-страниц. Примечательно, что идентичная уязвимость была устранена компанией Google в браузере Chrome еще 10 декабря 2025 года. Честь обнаружения этой угрозы делят между собой инженеры Apple Security Engineering and Architecture (SEAR) и эксперты Google TAG.
Представители Apple официально заявили, что данные уязвимости «могли быть использованы в ходе чрезвычайно изощренной атаки против конкретных целевых лиц». Инциденты были зафиксированы на устройствах, работающих под управлением версий операционной системы, предшествующих iOS 26. Характер и точность ударов указывают на использование высокотехнологичного наемного шпионского ПО (mercenary spyware), предназначенного для слежки за определенными пользователями, а не для массового заражения.
Ситуация осложняется тем, что WebKit является безальтернативным движком для всех браузеров на мобильных платформах Apple. Это означает, что уязвимость затрагивает не только пользователей Safari, но и тех, кто использует Google Chrome, Microsoft Edge, Mozilla Firefox и любые другие сторонние обозреватели на iOS и iPadOS. До установки системного обновления любой выход в интернет через эти устройства несет потенциальную угрозу.
Для защиты современных гаджетов Apple выпустила версии iOS 26.2 и iPadOS 26.2. Эти сборки предназначены для iPhone 11 и более новых моделей, iPad Pro 12.9 дюймов (с 3-го поколения), iPad Pro 11 дюймов (с 1-го поколения), iPad Air (с 3-го поколения), базовых iPad (с 8-го поколения) и iPad mini (с 5-го поколения). Владельцам этих устройств рекомендуется установить апдейт в кратчайшие сроки.
Для поддержки более старого оборудования или устройств, оставшихся на предыдущей ветке ПО, были выпущены iOS 18.7.3 и iPadOS 18.7.3. Этот список совместимости включает iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12.9 дюймов (начиная с 3-го поколения), iPad Pro 11 дюймов (с 1-го поколения), iPad Air (с 3-го поколения), iPad (с 7-го поколения) и iPad mini (с 5-го поколения).
Обновления также затронули другие экосистемные продукты. Компьютеры Mac, работающие на новейшей ОС, получили обновление macOS Tahoe 26.2. Для пользователей macOS Sonoma и macOS Sequoia доступна исправленная версия браузера Safari 26.2. Кроме того, патчи безопасности внедрены в tvOS 26.2 для всех моделей Apple TV HD и Apple TV 4K, в watchOS 26.2 для часов Apple Watch Series 6 и новее, а также в visionOS 26.2 для гарнитур Apple Vision Pro.
Статистика 2025 года показывает значительную активность киберпреступников в отношении платформ Apple. С учетом пятничного релиза, общее количество уязвимостей «нулевого дня», эксплуатируемых в реальных условиях и закрытых компанией в 2025 году, достигло девяти. В этот список, помимо свежих CVE-2025-43529 и CVE-2025-14174, вошли ранее обнаруженные CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 и CVE-2025-43300.
Изображение носит иллюстративный характер
Первая уязвимость, получившая идентификатор CVE-2025-43529, была обнаружена специалистами группы анализа угроз Google Threat Analysis Group (TAG). Этот дефект классифицируется как ошибка типа Use-after-free (использование памяти после освобождения) в компоненте WebKit. Эксплуатация данной бреши позволяет злоумышленникам добиваться выполнения произвольного кода на устройстве жертвы в момент обработки специально созданного вредоносного веб-контента. На текущий момент точная оценка опасности по шкале CVSS для этой уязвимости не опубликована.
Вторая проблема, зарегистрированная под номером CVE-2025-14174, имеет высокую оценку тяжести 8.8 балла по шкале CVSS. Она локализуется в библиотеке Almost Native Graphics Layer Engine (ANGLE) внутри рендерера М⃰l, являющегося частью WebKit. Это ошибка повреждения памяти, связанная с выходом за границы допустимого диапазона (out-of-bounds memory access), что также приводит к компрометации системы при загрузке вредоносных веб-страниц. Примечательно, что идентичная уязвимость была устранена компанией Google в браузере Chrome еще 10 декабря 2025 года. Честь обнаружения этой угрозы делят между собой инженеры Apple Security Engineering and Architecture (SEAR) и эксперты Google TAG.
Представители Apple официально заявили, что данные уязвимости «могли быть использованы в ходе чрезвычайно изощренной атаки против конкретных целевых лиц». Инциденты были зафиксированы на устройствах, работающих под управлением версий операционной системы, предшествующих iOS 26. Характер и точность ударов указывают на использование высокотехнологичного наемного шпионского ПО (mercenary spyware), предназначенного для слежки за определенными пользователями, а не для массового заражения.
Ситуация осложняется тем, что WebKit является безальтернативным движком для всех браузеров на мобильных платформах Apple. Это означает, что уязвимость затрагивает не только пользователей Safari, но и тех, кто использует Google Chrome, Microsoft Edge, Mozilla Firefox и любые другие сторонние обозреватели на iOS и iPadOS. До установки системного обновления любой выход в интернет через эти устройства несет потенциальную угрозу.
Для защиты современных гаджетов Apple выпустила версии iOS 26.2 и iPadOS 26.2. Эти сборки предназначены для iPhone 11 и более новых моделей, iPad Pro 12.9 дюймов (с 3-го поколения), iPad Pro 11 дюймов (с 1-го поколения), iPad Air (с 3-го поколения), базовых iPad (с 8-го поколения) и iPad mini (с 5-го поколения). Владельцам этих устройств рекомендуется установить апдейт в кратчайшие сроки.
Для поддержки более старого оборудования или устройств, оставшихся на предыдущей ветке ПО, были выпущены iOS 18.7.3 и iPadOS 18.7.3. Этот список совместимости включает iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12.9 дюймов (начиная с 3-го поколения), iPad Pro 11 дюймов (с 1-го поколения), iPad Air (с 3-го поколения), iPad (с 7-го поколения) и iPad mini (с 5-го поколения).
Обновления также затронули другие экосистемные продукты. Компьютеры Mac, работающие на новейшей ОС, получили обновление macOS Tahoe 26.2. Для пользователей macOS Sonoma и macOS Sequoia доступна исправленная версия браузера Safari 26.2. Кроме того, патчи безопасности внедрены в tvOS 26.2 для всех моделей Apple TV HD и Apple TV 4K, в watchOS 26.2 для часов Apple Watch Series 6 и новее, а также в visionOS 26.2 для гарнитур Apple Vision Pro.
Статистика 2025 года показывает значительную активность киберпреступников в отношении платформ Apple. С учетом пятничного релиза, общее количество уязвимостей «нулевого дня», эксплуатируемых в реальных условиях и закрытых компанией в 2025 году, достигло девяти. В этот список, помимо свежих CVE-2025-43529 и CVE-2025-14174, вошли ранее обнаруженные CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 и CVE-2025-43300.
