Apple выпустила внеплановые обновления безопасности для целой линейки своих операционных систем, закрыв сразу две 0-day уязвимости в движке WebKit. По данным компании, обе дыры уже активно применялись в рамках сложной целевой атаки против ограниченного круга пользователей, что делает обновление критически важным для всех владельцев устройств Apple.
Описание уязвимостей CVE-2025-43529 и CVE-2025-14174
Первая проблема, CVE-2025-43529, представляет собой уязвимость класса use-after-free в WebKit. Такие ошибки возникают, когда приложение продолжает обращаться к области памяти после ее освобождения, что при обработке специально сформированного веб-контента позволяет злоумышленнику добиться удаленного выполнения произвольного кода. Оценка по шкале CVSS для этого дефекта пока не опубликована. Обнаружение уязвимости приписывается экспертам команды Google Threat Analysis Group (TAG), специализирующейся на расследовании сложных целевых атак и эксплуатации 0-day.
Вторая уязвимость, CVE-2025-14174, также относится к компоненту WebKit и описывается как повреждение памяти (memory corruption). Подобные ошибки нередко позволяют обойти механизм изоляции процессов и привести к выполнению кода в контексте браузера или системного процесса. Для CVE-2025-14174 уже опубликован базовый балл 8,8 по CVSS, что соответствует уровню «Высокий». Уязвимость была обнаружена совместными усилиями внутренних специалистов Apple и команды Google TAG.
Какие устройства Apple под угрозой и какие обновления выпущены
Обе уязвимости затрагивают устройства, использующие WebKit для обработки веб-контента. Это не только Safari, но и все браузеры под iOS и iPadOS, так как в экосистеме Apple они обязаны работать через WebKit. В зону риска попадают пользователи iPhone, iPad, Mac, Apple Watch, Apple TV и гарнитуры Vision Pro.
По информации из бюллетеня безопасности, уязвимости были устранены в следующих версиях ОС и программного обеспечения:
iOS 26.2 и iPadOS 26.2, а также ветка iOS 18.7.3 и iPadOS 18.7.3 для устройств, остающихся на более старых релизах; macOS Tahoe 26.2; tvOS 26.2; watchOS 26.2; visionOS 26.2; а также Safari 26.2 для настольных систем. Пользователям настоятельно рекомендуется как можно быстрее установить последние обновления, поскольку эксплуатация уже подтверждена «в дикой природе».
Координация с Google: связь с 0-day в Chrome и ANGLE
Интересная деталь инцидента — пересечение в идентификаторах уязвимостей Apple и Google. На прошлой неделе Google выпустила патч для ранее нераскрытой 0-day в Chrome, которая вначале даже не имела CVE. Позже компания обновила бюллетень безопасности, указав CVE-2025-14174 и описав уязвимость как «Out-of-bounds memory access in ANGLE» — компонента, отвечающего за трансляцию графических API.
Использование одного и того же идентификатора CVE-2025-14174 в бюллетенях Google и Apple указывает на скоординированный выпуск исправлений и раскрытие деталей. Подобная практика стала стандартом индустрии: в случае обнаружения активной эксплуатации 0-day производители стремятся синхронизировать релиз патчей, чтобы минимизировать окно возможностей для злоумышленников.
Почему WebKit и iOS остаются приоритетной целью для шпионских кампаний
WebKit — ключевой компонент экосистемы Apple, лежащий в основе Safari, встроенных веб‑виджетов и всех браузеров на iOS. Политика платформы, обязывающая использовать WebKit, приводит к тому, что одна успешно эксплуатируемая уязвимость в движке автоматически затрагивает огромную пользовательскую базу.
Apple отмечает, что текущие 0-day использовались в «чрезвычайно сложной целевой атаке» против отдельных пользователей, работавших на версиях iOS вплоть до 26. По своим признакам схема эксплуатации напоминает типичные кампании с применением коммерческого шпионского ПО: первоначальный вход через браузер, выполнение кода, последующая эскалация привилегий и закрепление в системе. Похожие подходы многократно фиксировались в публичных отчетах о деятельности группировок, продающих эксплойт‑наборы государственным заказчикам.
Согласно открытым данным исследовательских команд, таким как Google Project Zero и Microsoft Threat Intelligence, количество выявленных 0-day в популярных платформах ежегодно измеряется десятками. Экономика рынка уязвимостей стимулирует постоянный поиск новых точек входа, а браузерные движки, подобные WebKit, остаются одной из наиболее привлекательных целей.
Девять 0-day уязвимостей Apple в 2025 году: тревожный, но показательный тренд
С учетом свежих исправлений, в 2025 году Apple уже закрыла девять 0-day уязвимостей, которые, по данным компании, реально эксплуатировались в атаках. В январе был устранен дефект CVE-2025-24085, в феврале — CVE-2025-24200, в марте — CVE-2025-24201. В апреле последовал двойной релиз патчей для CVE-2025-31200 и CVE-2025-31201, затем в июне закрыта CVE-2025-43200, а в августе — CVE-2025-43300.
Рост числа публично признаваемых 0-day не обязательно означает снижение уровня безопасности платформы. Напротив, это часто признак укрепления процессов обнаружения и координации с независимыми исследователями. Однако для организаций и рядовых пользователей это четкий сигнал: откладывать обновления систем становится все опаснее.
Чтобы снизить риски, владельцам устройств Apple следует как можно быстрее установить последние версии iOS, iPadOS, macOS, watchOS, tvOS, visionOS и Safari, включить автоматическое обновление и регулярно проверять наличие патчей безопасности. Организациям стоит дополнительно контролировать статус обновлений через MDM‑системы, ограничивать доступ к критически важным данным с устаревших устройств и отслеживать аномальную сетевую активность, связанную с браузером. Чем быстрее экосистема реагирует на новые 0-day, тем сложнее злоумышленникам поддерживать устойчивые цепочки атак, а значит, тем выше общий уровень киберустойчивости.
