Apple випустила позапланову хвилю оновлень безпеки для майже всієї своєї продуктовоі лінійки, виправивши дві критичні 0-day уразливості в рушії WebKit. За офіційними даними, обидва баги вже використовувалися у складній цільовій кібератаці проти обмеженої групи користувачів, що робить ці патчі пріоритетними для встановлення.
0-day уразливості WebKit: технічні деталі CVE-2025-43529 та CVE-2025-14174
Перша уразливість, CVE-2025-43529, класифікується як помилка типу use-after-free у WebKit. Це класична проблема керування пам’яттю, коли застосунок продовжує звертатися до вже вивільненої області пам’яті. При обробці спеціально підготовленого веб-контенту така помилка відкриває шлях до віддаленого виконання довільного коду в контексті браузера. Оцінка CVSS наразі не оприлюднена, але факт активної експлуатації підкреслює її небезпечність.
Уразливість була виявлена аналітиками Google Threat Analysis Group (TAG), які спеціалізуються на відстеженні складних цільових кампаній, зокрема із використанням шпіонського ПЗ та дорогих 0-day експлойтів.
Друга проблема, CVE-2025-14174, також стосується WebKit і описується як пошкодження пам’яті (memory corruption). Подібні дефекти часто дозволяють обійти механізми ізоляції процесів (sandboxing) та призводять до виконання коду в контексті браузера або системного процесу. Для неї вже опубліковано базовий бал 8,8 за шкалою CVSS, що відповідає рівню «Високий».
Які пристрої Apple під загрозою та які версії потрібно встановити
Оскільки WebKit використовується не лише в Safari, а й у всіх браузерах на iOS та iPadOS, одна уразливість у цьому рушії автоматично впливає на величезну кількість користувачів. Під ризиком опиняються власники iPhone, iPad, Mac, Apple Watch, Apple TV та гарнітури Vision Pro.
За даними бюлетеня безпеки Apple, виправлення інтегровані в такі релізи:
iOS 26.2 та iPadOS 26.2, а також гілка iOS 18.7.3 / iPadOS 18.7.3 для старіших пристроїв; macOS Tahoe 26.2; tvOS 26.2; watchOS 26.2; visionOS 26.2; а також Safari 26.2 для настільних систем macOS. Apple окремо підкреслює, що експлуатація уразливостей вже фіксувалася «в дикій природі», тому оновлення не варто відкладати.
Скоординований патчинг з Google: зв’язок із 0-day у Chrome та ANGLE
Ключова деталь інциденту — повторне використання ідентифікатора CVE-2025-14174 у бюлетенях Apple і Google. Нещодавно Google випустила оновлення безпеки для Chrome, виправивши раніше не розкриту 0-day у компоненті ANGLE, який відповідає за трансляцію графічних API. Пізніше у документації Google цій уразливості також було присвоєно CVE-2025-14174 і описано як «Out-of-bounds memory access in ANGLE».
Спільний CVE для патчів Chrome і WebKit свідчить про скоординований випуск оновлень та розкриття деталей. Такий підхід став галузевим стандартом: виробники синхронізують релізи, щоби максимально скоротити часовий проміжок, у який зловмисники можуть використовувати 0-day у різних екосистемах паралельно.
Чому WebKit та iOS — пріоритетна ціль для шпіонських кампаній
WebKit є базовим компонентом екосистеми Apple: він лежить в основі Safari, вбудованих веб‑виджетів та більшості застосунків, що відображають веб-контент. Через політику платформи, яка вимагає використання WebKit для всіх браузерів на iOS, одна успішна 0-day урушії впливає на всю платформу, а не лише на окремий браузер.
За словами Apple, ці 0-day застосовувалися в «надзвичайно складній цільовій атаці» проти окремих користувачів на версіях iOS до 26 включно. Сценарій нагадує типові операції із залученням комерційного шпигунського ПЗ: початковий злом через браузер, виконання коду, подальша ескалація привілеїв і закріплення у системі. Подібні ланцюжки багаторазово описувалися в публічних звітах про діяльність вендорів шпіонських інструментів, що працюють на державний сектор.
Дев’ять 0-day Apple у 2025 році: сигнал, а не паніка
З урахуванням нинішніх виправлень, у 2025 році Apple вже закрила дев’ять 0-day уразливостей, які реально експлуатувалися в атаках: CVE-2025-24085 (січень), CVE-2025-24200 (лютий), CVE-2025-24201 (березень), CVE-2025-31200 та CVE-2025-31201 (квітень), CVE-2025-43200 (червень), CVE-2025-43300 (серпень) і тепер CVE-2025-43529 та CVE-2025-14174.
Зростання кількості публічно визнаних 0-day саме по собі не означає падіння рівня безпеки. Часто це ознака посилення процесів виявлення, внутрішнього моніторингу та координації з незалежними дослідниками, такими як Google Project Zero чи Microsoft Threat Intelligence. Водночас для організацій і користувачів це чіткий маркер: затримка з оновленнями безпеки перетворюється на прямий бізнес‑ризик.
Щоб мінімізувати ймовірність компрометації, власникам пристроїв Apple варто негайно встановити останні версії iOS, iPadOS, macOS, watchOS, tvOS, visionOS та Safari, увімкнути автоматичні оновлення і час від часу вручну перевіряти наявність патчів безпеки. Організаціям доцільно контролювати статус оновлень через MDM‑системи, обмежувати доступ до критичних ресурсів зі застарілих пристроїв і відслідковувати аномальні веб‑з’єднання. Чим швидше екосистема реагує на нові 0-day уразливості WebKit та інших компонентів, тим дорожче й складніше зловмисникам підтримувати стійкі ланцюжки атак — а отже, тим вищим стає загальний рівень кіберстійкості.
