Эпидемия взломов iPhone достигла пика — Apple срочно латает две 0-day уязвимости после подтвержденных атак

Apple iPhone CVE-2025-43529 CVE-2025-14174 0-day патч WebKit
Эпидемия взломов iPhone достигла пика — Apple срочно латает две 0-day уязвимости после подтвержденных атак
Apple iPhone CVE-2025-43529 CVE-2025-14174 0-day патч WebKit

Седьмая атака за год поставила компанию в критическое положение.

image

Apple выпустила внеплановые патчи, закрывающие две уязвимости нулевого дня, которые уже использовались в реальных атаках. В компании подтвердили, что речь идёт о сложной технической эксплуатации, направленной на ограниченный круг людей, а не о массовом заражении. Обе проблемы затрагивали устройства с версиями iOS до выхода iOS 26 и были устранены одним пакетом исправлений.

Уязвимости зарегистрированы под идентификаторами CVE-2025-43529 и CVE-2025-14174. По информации Apple, они применялись в рамках одной и той же активности, однако каких-либо деталей о сценарии атак или способах доставки компания раскрывать не стала, ограничившись формулировкой о «чрезвычайно сложной атаке» на конкретных пользователей.

CVE-2025-43529 представляет собой ошибку use-after-free в WebKit — браузерном движке, который используется в Safari и во всех сторонних браузерах на iOS. Проблема позволяет добиться удалённого выполнения кода при обработке специально подготовленного веб-контента. Обнаружением этой проблемой занималась Google Threat Analysis Group.

Вторая брешь, CVE-2025-14174, также находится в WebKit и связана с повреждением памяти. Такой дефект может приводить к некорректной работе с областями памяти и создавать условия для дальнейшей эксплуатации. Над её выявлением работала команда Apple совместно с той же исследовательской группой Google.

Обе уязвимости затрагивали широкий набор устройств: iPhone, начиная с модели 11, несколько поколений iPad Pro, iPad Air третьего поколения и новее, стандартные iPad с восьмого поколения, а также iPad mini, начиная с пятого. Фактически под риск попадали большинство актуальных моделей.

Исправления вошли сразу в несколько релизов операционных систем. Патчи выпущены для iOS 26.2 и iPadOS 26.2, а также для ветки iOS 18.7.3 и iPadOS 18.7.3. Обновления получили macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 и Safari версии 26.2.

Почти одновременно с этим Google обновила информацию о загадочной уязвимости нулевого дня в Chrome. Изначально она фигурировала без подробностей, но позже компания указала, что проблема имеет идентификатор CVE-2025-14174 и связана с выходом за границы памяти в компоненте ANGLE.

Поскольку WebKit используется всеми браузерами на iOS, включая Chrome, зафиксированная активность соответствует типичным сценариям целевых атак, где основной вектор проходит через обработку веб-контента. При этом Apple подчёркивает, что эксплуатация не носила массового характера, но всё равно рекомендует установить обновления как можно скорее.

С учётом этих патчей общее число уязвимостей нулевого дня, которые Apple закрыла в 2025 году после их использования в реальных атаках, достигло семи. Ранее исправления выходили в январе, феврале, марте и апреле, а в сентябре компания отдельно перенесла патч для одной из таких проблем на более старые версии iOS и iPadOS. Новые обновления продолжают эту цепочку, не раскрывая лишних деталей, но ясно давая понять, что уязвимости уже были задействованы в целевых операциях кибершпионажа и требуют срочного внимания пользователей.