Apple je objavio ažuriranja za macOS i iOS kako bi zakrpio dva WebKit zero-day propusta koji su iskorišćeni u, kako kompanija navodi, „izuzetno sofisticiranom“ napadu.
Apple je objavio ažuriranja za macOS i iOS koja rješavaju desetine ranjivosti, uključujući dva zero-day propusta za koje tehnološki gigant tvrdi da su iskorišćeni u visoko ciljanim napadima.
Prema Appleovim bezbjednosnim obavještenjima, zero-day propusti pogađaju WebKit, browser engine koji je prisutan u Safari-ju, iOS-u, iPadOS-u, macOS-u, tvOS-u, watchOS-u i visionOS-u.
Jedan od zero-day propusta, CVE-2025-14174, opisan je kao problem sa oštećenjem memorije, dok je drugi, CVE-2025-43529, greška tipa use-after-free. Oba se mogu iskoristiti putem posebno oblikovanog web sadržaja kako bi se izvršio proizvoljan kod.
Apple je zakrpe za CVE-2025-14174 i CVE-2025-43529 objavio sa izdanjima iOS i iPadOS 26.2, iOS i iPadOS 18.7.3, macOS Tahoe 26.2, Safari 26.2 za macOS, tvOS 26.2, watchOS 26.2 i visionOS 26.2.
Međutim, u Appleovim obavještenjima se navodi da su ranjivosti iskorišćene u „izuzetno sofisticiranom napadu protiv određenih, ciljano odabranih pojedinaca na verzijama iOS-a starijim od iOS 26“.
Kompanija je saopštila da su ranjivosti otkrili njen interni bezbjednosni tim i Googleov Threat Analysis Group.
Ovo, zajedno sa šturim opisom napada, ukazuje na to da su zero-day propusti vjerovatno zloupotrebljavani od strane komercijalnih proizvođača špijunskog softvera, koji su poznati po ciljanju Androida, iOS-a, macOS-a, Chrome-a i WhatsApp-a.
CVE-2025-14174 je misteriozni Chrome zero-day
Google je prošle sedmice objavio zakrpe za misteriozni Chrome zero-day propust. Kompanija je navela da je primijećena aktivna eksploatacija u realnim napadima, ali da ranjivost u početku nije imala CVE identifikator niti detaljan opis, osim ocjene „visokog nivoa ozbiljnosti“.
Google je sada ažurirao prvobitno obavještenje i pojasnio da je ranije neidentifikovani zero-day zapravo CVE-2025-14174.
Kompanija navodi da se radi o problemu pristupa memoriji van dozvoljenih granica u Angle grafičkoj biblioteci. Kako se Angle koristi i u Chromeovom Blink browser engine-u i u WebKit-u, ovaj zero-day pogađa proizvode i Google-a i Apple-a.
Izgleda da su Google i Apple koordinisali objavu informacija i zakrpljivanje ove ranjivosti. Prema Googleovom obavještenju, problem je prvi put identifikovan 5. decembra.
Google nije podijelio nikakve informacije o napadima koji bi ciljali Chrome korisnike.
Takođe vrijedi napomenuti da se Angle biblioteka koristi u Chromium-u, pa su pogođeni i drugi browseri zasnovani na Chromium-u, kao što su Edge, Opera, Vivaldi i Brave.
Microsoft je već ažurirao Edge kako bi riješio CVE-2025-14174. Vivaldi je takođe objavio ažuriranje koje zakrpljuje ovaj zero-day propust.
CISA je dodala CVE-2025-14174 u svoj katalog poznatih aktivno iskorišćenih ranjivosti (Known Exploited Vulnerabilities – KEV).
Izvor: SecurityWeek
