Apple łata dwie luki zero-day w WebKit wykorzystywane w „wysoce wyrafinowanych” atakach

Wprowadzenie do problemu / definicja luki

Apple opublikowało pakiet aktualizacji zabezpieczeń dla iOS/iPadOS 26.2, iOS/iPadOS 18.7.3 (kanał LTS), macOS Tahoe 26.2, watchOS 26.2, tvOS 26.2, visionOS 26.2 oraz Safari 26.2, usuwając dwie luki zero-day w WebKit aktywnie wykorzystywane w atakach ukierunkowanych na „konkretnych użytkowników” (określonych jako extremely sophisticated attacks). Luki otrzymały identyfikatory CVE-2025-43529 (use-after-free → RCE) oraz CVE-2025-14174 (korupcja pamięci / OOB w komponentach renderujących), a ich wykrycie przypisano Google Threat Analysis Group (TAG) oraz Apple.

W skrócie

• Co się stało? Dwie dziury w WebKit były wykorzystywane „na wolności” w precyzyjnych, ukierunkowanych atakach. Apple wydało poprawki dla całego ekosystemu oraz przeglądarki Safari.
• Kto zagrożony? Urządzenia z iOS przed wersją 26 (w tym iPhone 11 i nowsze oraz wspierane iPady) oraz systemy macOS/tvOS/watchOS/visionOS korzystające z WebKit bez najnowszych łatek.
• Dlaczego to ważne? Jedna z luk jest skorelowana z niedawno załatanym zero-day w Google Chrome (ANGLE) – wskazuje to na skoordynowane ujawnienie i potencjalnie wspólne wektory ataku oparte na treści WWW.
• Co robić? Aktualizować natychmiast: iOS/iPadOS 26.2 (lub 18.7.3), macOS 26.2, Safari 26.2 itd.; w organizacjach – wymusić aktualizacje, monitorować telemetrię, blokować stare wersje.

Kontekst / historia / powiązania

To już kolejne w 2025 r. przypadki, gdy WebKit staje się celem ataków wykorzystywanych do infekcji łańcuchowych (tzw. one-click/zero-click przez złośliwą stronę). Co istotne, CVE-2025-14174 widnieje również w poradniku Chrome Stable jako aktywnie wykorzystywany zero-day w ANGLE – bibliotece pośredniczącej w grafice (WebGL), co pokazuje synchronizację Google i Apple w zakresie ujawnienia i łat.

Media branżowe (m.in. BleepingComputer) podkreślają, że Apple mówi o „extremely sophisticated attack against specific targeted individuals”, a więc scenariuszach bliskich spyware klasy APT.

Analiza techniczna / szczegóły luki

CVE-2025-43529 (WebKit – use-after-free → RCE)

• Wpływ: możliwość zdalnego wykonania kodu po przetworzeniu złośliwej zawartości WWW.
• Atrybucja: odkryta przez Google TAG.
• Status: Apple potwierdza raporty o wykorzystaniu w ataku na użytkowników na wersjach iOS sprzed 26.
• Mitygacja: „poprawione zarządzanie pamięcią”.

CVE-2025-14174 (WebKit – memory corruption / OOB)

• Wpływ: korupcja pamięci podczas przetwarzania zawartości WWW; w Chrome skatalogowana w ANGLE jako out-of-bounds memory access i oznaczona jako exploited in the wild.
• Atrybucja: Apple + Google TAG.
• Mitygacja: „poprawiona walidacja”.

Platformy / wersje z poprawką

• iOS/iPadOS 26.2 (także 18.7.3 dla toru długoterminowego),
• macOS Tahoe 26.2,
• Safari 26.2 (dla starszych wspieranych wersji macOS),
• analogiczne aktualizacje dla watchOS/tvOS/visionOS w tym samym cyklu wydań.

Praktyczne konsekwencje / ryzyko

• Ataki przez przeglądarkę / aplikacje WebView. Wektor to po prostu odwiedzenie złośliwej strony lub załadowanie wrogiej treści w WebView (link w komunikatorze, reklama, watering hole).
• Łańcuchy z EoP/persistencją. RCE w WebKit często jest pierwszym etapem łańcucha prowadzącego do eskalacji uprawnień i trwałości (np. przez dodatkowe błędy kernela lub sandbox escape).
• Profi lowanie i eksfiltracja. W kampaniach ukierunkowanych celem bywa monitoring i kradzież danych (wiadomości, lokalizacja, albumy Hidden Photos, historia Safari), co Apple adresuje poprawkami również poza WebKit w tym wydaniu.

Rekomendacje operacyjne / co zrobić teraz

1. Wymuś aktualizacje:
   • Użytkownicy końcowi: uaktualnij do iOS/iPadOS 26.2 (lub 18.7.3 na starszych torach), macOS 26.2, Safari 26.2.
   • Zarządzanie flotą (MDM): konfiguruj wymuszenie wersji minimalnej dla iOS/macOS oraz blokowanie przeglądarek/Safari poniżej 26.2 w sieci korporacyjnej (np. przez NAC/Proxy).
2. Tymczasowe osłony do czasu pełnej dystrybucji łatek:
   • W bramkach WWW/NGFW aktywuj kategorie i sygnatury „Exploit/Browser/WebKit”.
   • W EDR/XDR zapnij reguły monitorujące nietypowe procesy potomne Safari/WebContent oraz just-in-time compilation anomalies (symptom eksploatacji RCE).
3. Mycie powierzchni ataku:
   • Ogranicz otwieranie linków z nieznanych źródeł w komunikatorach, wyłącz preload/preview tam, gdzie to możliwe.
   • Wymuś relaunch przeglądarek po aktualizacji (dla Safari i Chrome/Chromium). Chrome również naprawił powiązaną lukę CVE-2025-14174 – upewnij się, że stacje mają 143.0.7499.110 (lub nowszą).
4. Hunting i IR (opcjonalnie dla SOC):
   • Szukaj artefaktów nietypowych kraks WebKit (np. sygnatury EXC_BAD_ACCESS w com.apple.WebKit.WebContent tuż przed aktualizacją).
   • Koreluj z telometrią proxy/DNS: domeny świeżo zarejestrowane, kampanie watering-hole.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• W 2025 r. Apple wielokrotnie łatało WebKit po doniesieniach o exploitach in the wild. Obecny przypadek wyróżnia bezpośrednie powiązanie z równoległym zero-day w Chrome (ANGLE) oraz akcent „extremely sophisticated” – wskazujący na wysokobudżetowe zestawy spyware celujące w konkretne osoby (dziennikarze, dysydenci, branża wysokiego ryzyka).

Podsumowanie / kluczowe wnioski

• Dwie luki zero-day w WebKit (CVE-2025-43529, CVE-2025-14174) były wykorzystywane; Apple i Google TAG zadziałały skoordynowanie.
• Aktualizacja całej floty Apple + wymuszenie nowych wersji Safari/Chrome to priorytet krytyczny.
• Traktuj incydent jako APT-grade – wdroż polisy „zero-trust dla treści WWW” i krótkie SLA na łatki przeglądarek/silników renderujących.

Źródła / bibliografia

• Apple Support — Security content of iOS/iPadOS 26.2 (informacja o CVE-2025-43529 i CVE-2025-14174, status „exploited”). (Apple Support)
• Apple Support — Security content of macOS Tahoe 26.2. (Apple Support)
• Apple Support — Security content of Safari 26.2. (Apple Support)
• BleepingComputer — przegląd aktualizacji i kontekstu ataków (12 grudnia 2025). (BleepingComputer)
• Chrome Releases (Google) — Stable Channel z potwierdzeniem „exploit in the wild” dla CVE-2025-14174 (ANGLE). (Chrome Releases)