Η Apple διορθώνει δύο ελαττώματα WebKit zero-day που εκμεταλλεύονται ενεργά σε εξελιγμένες επιθέσεις που στοχεύουν συγκεκριμένους χρήστες iPhone που χρησιμοποιούν εκδόσεις iOS πριν από τις 26.
Οι ενημερώσεις iOS 26.2 και iPadOS 26.2, που κυκλοφόρησαν στις 12 Δεκεμβρίου 2025, έχουν διεύθυνση CVE-2025-43529 και CVE-2025-14174 στο WebKit. Το CVE-2025-43529 περιλαμβάνει μια ευπάθεια χωρίς χρήση που επιτρέπει την αυθαίρετη εκτέλεση κώδικα μέσω κακόβουλου περιεχομένου ιστού, που ανακαλύφθηκε από την ομάδα ανάλυσης απειλών Google.
Το CVE-2025-14174 είναι ένα σχετικό ζήτημα καταστροφής της μνήμης, το οποίο πιστώνεται στην Apple και στο Google TAG, και τα δύο ελαττώματα συνδέονται με στοχευμένες καμπάνιες λογισμικού κατασκοπείας.
| Αναγνωριστικό CVE | Συστατικό | Σύγκρουση | Περιγραφή | Ερευνητής(-οι) |
|---|---|---|---|---|
| CVE-2025-43529 | WebKit | Αυθαίρετη εκτέλεση κώδικα | Χρήση μετά τη δωρεάν, βελτιωμένη διαχείριση μνήμης | Ομάδα ανάλυσης απειλών Google |
| CVE-2025-14174 | WebKit | Διαφθορά μνήμης | Βελτιωμένη επικύρωση | Apple & Google TAG |
Αυτά τα ελαττώματα επηρεάζουν τα μοντέλα iPhone 11 και νεότερα μοντέλα, καθώς και καθορισμένες παραλλαγές iPad Pro, Air και mini.
Άλλες κρίσιμες διορθώσεις
Μήλο αποφασισμένος πάνω από 30 ευπάθειες σε στοιχεία όπως Kernel, Foundation, Screen Time και curl. Στα αξιοσημείωτα ζητήματα περιλαμβάνονται μια υπερχείλιση ακέραιου αριθμού πυρήνα (CVE-2025-46285) που επιτρέπει την κλιμάκωση των δικαιωμάτων ρίζας, που ανακαλύφθηκε από ερευνητές του Ομίλου Alibaba, και πολλά ελαττώματα καταγραφής χρόνου οθόνης που εκθέτουν το ιστορικό Safari ή τα δεδομένα χρήστη (CVE-2025-46277, CVE-2025-435).
Το WebKit είδε πρόσθετες ενημερώσεις κώδικα για σύγχυση τύπου, υπερχείλιση buffer και σφάλματα (π.χ. CVE-2025-43541, CVE-2025-43501). Αντιμετωπίστηκαν επίσης ελαττώματα ανοιχτού κώδικα στο libarchive (CVE-2025-5918) και στο curl (CVE-2024-7264, CVE-2025-9086).
| Συστατικό | Αναγνωριστικό CVE | Σύγκρουση | Βασικός Ερευνητής |
|---|---|---|---|
| Πυρήνας | CVE-2025-46285 | Προνόμια ρίζας | Kaitao Xie, Xiaolong Bai |
| Χρόνος οθόνης | CVE-2025-46277 | Πρόσβαση στο ιστορικό Safari | Kirin (@Pwnrin) |
| Μηνύματα | CVE-2025-46276 | Πρόσβαση σε ευαίσθητα δεδομένα | Rosyna Keller |
Επηρεαζόμενες συσκευές και μετριασμός
Οι επιπτώσεις καλύπτουν το iPhone 11+, το iPad Pro 12,9 ιντσών (3η γενιά+), το iPad Pro 11 ιντσών (1η γενιά+), το iPad Air (3η γενιά+), το iPad (8η γενιά+) και το iPad mini (5η γενιά+).
Οι χρήστες θα πρέπει να ενημερώνονται αμέσως μέσω Ρυθμίσεις > Γενικά > Ενημέρωση λογισμικού για να μετριάσουν τους κινδύνους από αυτά τα στοχευμένα exploits, σύμφωνα με τα μοτίβα που παρατηρήθηκαν σε προηγούμενες επιθέσεις spyware. Η Apple δεν σημειώνει λεπτομέρειες για τους επιτιθέμενους, αλλά η συνεργασία με την Google υπογραμμίζει τις απειλές σε επίπεδο εθνικού κράτους.
| Προϊόν | Εκδόσεις που επηρεάζονται | Ενημερωμένη έκδοση | Συμβατές συσκευές |
|---|---|---|---|
| iOS | Πριν από το 26.2 (εκμετάλλευση πριν από το 26) | 26.2 | iPhone 11 και μεταγενέστερα |
| iPadOS | Πριν από το 26.2 (εκμετάλλευση πριν από το 26) | 26.2 | iPad Pro 12,9″ (3η γενιά+), iPad Pro 11″ (1η γενιά+), iPad Air (3η γενιά+), iPad (8η γενιά+), iPad mini (5η γενιά+) |
