Η CISA εξέδωσε μια επείγουσα προειδοποίηση σχετικά με μια κρίσιμη ευπάθεια zero-day στο Apple WebKit που αυτή τη στιγμή χρησιμοποιείται ενεργά σε επιθέσεις.
Η CISA πρόσθεσε το CVE-2025-43529 στον κατάλογό της με τρωτά σημεία που απαιτούν άμεση προσοχή, θέτοντας αυστηρή προθεσμία για τους οργανισμούς να εφαρμόσουν προστατευτικά μέτρα.
Τι είναι η ευπάθεια WebKit;
Η ευπάθεια, που αναγνωρίστηκε ως ελάττωμα χωρίς χρήση στο WebKit, επηρεάζει πολλά προϊόντα της Apple, συμπεριλαμβανομένων των iOS, iPadOS, macOS και άλλων πλατφορμών που βασίζονται στο WebKit για επεξεργασία HTML.
Το ελάττωμα υπάρχει στο επίπεδο διαχείρισης μνήμης της μηχανής απόδοσης WebKit.
| Πεδίο | Πληροφορίες |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-43529 |
| Τύπος ευπάθειας | Χρήση-μετά-δωρεάν (CWE-416) |
| Προϊόντα που επηρεάζονται | Apple iOS, iPadOS, macOS, Safari, εφαρμογές που βασίζονται σε WebKit |
| Περιγραφή ευπάθειας | Δωρεάν χρήση στον αναλυτή HTML WebKit που επιτρέπει την καταστροφή της μνήμης μέσω κακόβουλα δημιουργημένου περιεχομένου ιστού |
| Κατάσταση εκμετάλλευσης | Εκμεταλλεύεται ενεργά στη φύση |
Επιτρέποντας στους εισβολείς να χειραγωγούν την καταστροφή της μνήμης μέσω προσεκτικά δημιουργημένου κακόβουλου περιεχομένου ιστού.
Όταν οι χρήστες συναντούν αυτούς τους ειδικά σχεδιασμένους ιστότοπους, η ευπάθεια μπορεί να ενεργοποιηθεί χωρίς πρόσθετη αλληλεπίδραση με τον χρήστη, καθιστώντας την ιδιαίτερα επικίνδυνη.
Η ευρέως διαδεδομένη φύση αυτής της ευπάθειας είναι ανησυχητική επειδή επηρεάζει όχι μόνο το εγγενές πρόγραμμα περιήγησης Safari της Apple αλλά και εφαρμογές τρίτων που ενσωματώνουν το WebKit ως τη μηχανή απόδοσης HTML.
Αυτό επεκτείνει σημαντικά την επιφάνεια πιθανής επίθεσης σε όλο το οικοσύστημα.
Η ευπάθεια ταξινομείται ως συνθήκη χωρίς χρήση, η οποία εμπίπτει στο CWE-416, πράγμα που σημαίνει ότι οι εισβολείς θα μπορούσαν ενδεχομένως να επιτύχουν αυθαίρετη εκτέλεση κώδικα σε ευάλωτα συστήματα.
CISA έχει τονίσει ότι όλοι οι οργανισμοί και οι χρήστες θα πρέπει να εφαρμόζουν ενημερώσεις ασφαλείας από την Apple αμέσως μετά τη διαθεσιμότητα.
Ο οργανισμός έχει θέσει ως υποχρεωτική προθεσμία συμμόρφωσης την 5η Ιανουαρίου 2026, για ομοσπονδιακούς οργανισμούς και εργολάβους βάσει του πλαισίου δεσμευτικής επιχειρησιακής οδηγίας (BOD) 22-01.
Σε περιβάλλοντα υπηρεσιών cloud, οι οργανισμοί πρέπει να ακολουθούν τις ισχύουσες οδηγίες των παρόχων υπηρεσιών τους και να εφαρμόζουν αντισταθμιστικούς ελέγχους όπου χρειάζεται.
Συνιστάται στους χρήστες να ενεργοποιούν τις αυτόματες ενημερώσεις ασφαλείας σε όλες τις συσκευές Apple για να διασφαλίσουν ότι λαμβάνουν ενημερώσεις κώδικα αμέσως μόλις κυκλοφορήσουν.
Οι οργανισμοί θα πρέπει να κάνουν απογραφή όλων των συστημάτων που χρησιμοποιούν προγράμματα περιήγησης και εφαρμογές που βασίζονται σε WebKit και δίνουν προτεραιότητα στην ενημέρωση κώδικα επομένως.
Για συστήματα όπου η άμεση ενημέρωση κώδικα δεν είναι εφικτή, οι διαχειριστές θα πρέπει να εξετάσουν το ενδεχόμενο να περιορίσουν την περιήγηση στον ιστό μόνο σε αξιόπιστους ιστότοπους και να εφαρμόσουν φιλτράρισμα κακόβουλου περιεχομένου βάσει δικτύου.
Οι ερευνητές ασφάλειας συνεχίζουν να διερευνούν το εύρος και τις πλήρεις επιπτώσεις αυτής της ευπάθειας. Η Apple θα δημοσιεύσει πρόσθετες λεπτομέρειες σχετικά με τις επιδιορθωμένες εκδόσεις και τις οδηγίες αποκατάστασης μέσω επίσημων συμβουλών ασφαλείας.
Οι οργανισμοί θα πρέπει να παρακολουθούν τακτικά τις ειδοποιήσεις CISA και τη σελίδα ενημερώσεων ασφαλείας της Apple για τις πιο πρόσφατες πληροφορίες.
Related Posts
Νέο MobileGestalt Exploit για iOS 26.0.1 Επιτρέπει τις μη εξουσιοδοτημένες εγγραφές σε προστατευμένα δεδομένα
Ευπάθειες 0-ημέρας της Apple που αξιοποιούνται σε εξελιγμένες επιθέσεις που στοχεύουν χρήστες iPhone
Χάκερ που εκμεταλλεύονται την ευπάθεια του XWiki στη φύση για να προσλάβουν τους διακομιστές για το Botnet
