Apple remediază două vulnerabilități zero-day exploatate în atacuri
Sursă: https://www.bleepingcomputer.com
Apple a lansat actualizări de urgență pentru a remedia două vulnerabilități zero-day care au fost exploatate în cadrul unui atac extrem de complex.
Vulnerabilitățile de tip zero-day sunt identificate ca CVE-2025-43529 și CVE-2025-14174.
CVE-2025-43529 este o vulnerabilitate WebKit de tip use-after-free ce permite executarea de cod de la distanță și care poate fi exploatată prin procesarea de conținut web creat în mod malițios.
CVE-2025-14174 este o vulnerabilitate WebKit de tip memory corruption ce poate duce la coruperea memoriei.
Dispozitivele afectate de cele două vulnerabilități includ:
- iPhone 11 și versiuni ulterioare;
- iPad Pro 12.9-inch (a 3-a generație și versiuni ulterioare);
- iPad Pro 11-inch (prima generație și versiuni ulterioare);
- iPad Air (a 3-a generație și versiuni ulterioare);
- iPad (a 8-a generație și versiuni ulterioare);
- iPad mini (a 5-a generație și versiuni ulterioare).
Apple a remediat vulnerabilitățile în OS 26.2 și iPadOS 26.2, iOS 18.7.3 și iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 și Safari 26.2.
Recent, Google a remediat o eroare misterioasă de tip zero-day in Google Chrome, etichetând-o inițial ca [N/A][466192044] High: În proces de coordonare.
Cu toate acestea, Google a actualiza avizul pentru a identifica eroarea: CVE-2025-14174: Out-of-bounds memory access în ANGLE, care este același CVE remediat de Apple, indicând o divulgare coordonată între cele două companii.
Apple nu a dezvăluit detalii tehnice despre atacuri, limitându-se să precizeze că acestea au vizat persoane care utilizau versiuni de iOS anterioare versiunii iOS 26.
Deoarece ambele vulnerabilități afectează WebKit, pe care Google Chrome îl utilizează pe iOS, activitatea este compatibilă cu atacuri spyware extrem de direcționate.
Deși aceste vulnerabilități au fost exploatate doar în atacuri vizate, utilizatorilor li se recomandă insistent să instaleze imediat cele mai recente actualizări de securitate pentru a reduce riscul exploatării continue.
Cu aceste remedieri, Apple a remediat până acum 7 vulnerabilități zero-day care au fost exploatate în 2025, începând cu CVE-2025-24085 în ianuarie, CVE-2025-24200 în februarie, CVE-2025-24201 în martie și încă două în aprilie (CVE-2025-31200 și CVE-2025-31201).
În septembrie, Apple a implementat și o remediere pentru o vulnerabilitate zero-day identificată ca CVE-2025-43300 pe dispozitivele mai vechi care rulează iOS 15.8.5 / 16.7.12 și iPadOS 15.8.5 / 16.7.12.
Sursă: https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/
