Apple lansează actualizări de securitate importante după ce două vulnerabilități WebKit au fost exploatate activ

Apple a publicat, la mijlocul lunii decembrie 2025, un nou pachet de actualizări de securitate pentru aproape toate platformele sale majore, după confirmarea existenței a două vulnerabilități grave din motorul WebKit care au fost exploatate activ „în sălbăticie”.

Problemele afectează iOS, iPadOS, macOS, tvOS, watchOS, visionOS, precum și browserul Safari.

Potrivit companiei, una dintre aceste vulnerabilități este identică cu o problemă de securitate remediată recent de Google în browserul Chrome.

Apple avertizează că deficiențele ar fi fost folosite în atacuri extrem de sofisticate, îndreptate împotriva unor utilizatori vizați în mod specific, pe versiuni mai vechi de iOS.

Două vulnerabilități WebKit cu impact major asupra securității

Cele două probleme de securitate remediate sunt identificate sub codurile CVE-2025-43529 și CVE-2025-14174. Prima este o vulnerabilitate de tip „use-after-free” în WebKit, care poate permite executarea de cod arbitrar atunci când un utilizator accesează conținut web special conceput pentru exploatare.

A doua are un scor CVSS de 8,8 și este legată de coruperea memoriei, tot în contextul procesării unor pagini web malițioase.

Apple a precizat că este conștientă de faptul că aceste probleme „ar fi putut fi exploatate într-un atac extrem de sofisticat împotriva unor persoane atent selectate”, pe dispozitive care rulau versiuni de iOS anterioare iOS 26.

Un detaliu important este că CVE-2025-14174 corespunde aceleiași breșe de securitate corectate de Google pe 10 decembrie 2025 în Chrome.

În cazul Google, vulnerabilitatea a fost descrisă drept un acces ilegal la memorie în afara limitelor permise, în cadrul bibliotecii open-source ANGLE (Almost Native Graphics Layer Engine), mai exact în componenta de randare Metal.

Descoperirea și raportarea problemei au fost realizate de echipele Apple Security Engineering and Architecture (SEAR) și Google Threat Analysis Group (TAG), iar TAG a fost creditată și pentru identificarea celei de-a doua vulnerabilități.

Faptul că ambele breșe afectează WebKit este deosebit de important, deoarece acest motor de randare este utilizat nu doar de Safari, ci și de toate browserele terțe de pe iOS și iPadOS, inclusiv Chrome, Microsoft Edge sau Mozilla Firefox.

Acest lucru sugerează, de altfel, că exploatările ar fi putut avea un impact mult mai larg decât un simplu browser.

Ce dispozitive și sisteme sunt afectate și ce actualizări trebuie instalate

Apple a remediat vulnerabilitățile printr-o serie extinsă de actualizări software, disponibile pentru mai multe generații de dispozitive.

Printre acestea se numără iOS 26.2 și iPadOS 26.2 pentru iPhone 11 și modelele mai noi, precum și pentru numeroase versiuni de iPad, de la iPad Pro la iPad mini.

Totodată, au fost lansate actualizări și pentru ramura iOS 18, sub forma versiunilor iOS 18.7.3 și iPadOS 18.7.3, destinate dispozitivelor mai vechi, începând cu iPhone XS.

Pe partea de computere, problema a fost rezolvată prin macOS Tahoe 26.2, iar utilizatorii de Apple TV, Apple Watch și Apple Vision Pro au primit actualizări dedicate prin tvOS 26.2, watchOS 26.2 și visionOS 26.2. În plus, Safari 26.2 a fost lansat pentru Mac-urile care rulează macOS Sonoma și macOS Sequoia.

Odată cu aceste remedieri, Apple ajunge la un total de nouă vulnerabilități zero-day corectate în 2025, toate confirmate ca fiind exploatate activ.

Lista include și alte probleme critice identificate pe parcursul anului, semnalând o intensificare a atacurilor sofisticate care vizează ecosistemul Apple.

Specialiștii în securitate recomandă instalarea imediată a actualizărilor disponibile, în special având în vedere natura țintită a atacurilor și faptul că exploatările au fost deja observate în practică.

Pentru utilizatori, aceste update-uri reprezintă o măsură esențială de protecție împotriva unor amenințări avansate, greu de detectat prin mijloace obișnuite.