Apple v piatok (12.12.2025) vydal bezpečnostné aktualizácie pre iOS, iPadOS, macOS, tvOS, watchOS, visionOS a svoj webový prehliadač Safari s cieľom opraviť dve bezpečnostné chyby, o ktorých uviedol, že boli zneužívané v reálnych útokoch. Jedna z nich je tá istá chyba, ktorú Google opravil v prehliadači Chrome začiatkom tohto týždňa.
Zraniteľnosti sú uvedené nižšie :
- CVE-2025-43529 (CVSS skóre: N/A) – zraniteľnosť typu use-after-free v komponente WebKit, ktorá môže viesť k vykonaniu ľubovoľného kódu pri spracovaní škodlivo vytvoreného webového obsahu
- CVE-2025-14174 (CVSS skóre: 8,8) – problém s poškodením pamäte v komponente WebKit, ktorý môže viesť k poškodeniu pamäte pri spracovaní škodlivo vytvoreného webového obsahu
Apple uviedol, že si je vedomý toho, že tieto nedostatky „mohli byť zneužité v mimoriadne sofistikovanom útoku proti konkrétnym cieleným jednotlivcom na verziách iOS pred iOS 26“.
Za zmienku stojí, že CVE-2025-14174 je tá istá zraniteľnosť, na ktorú Google vydal opravy vo svojom prehliadači Chrome 10. decembra 2025. Technologický gigant ju opísal ako prístup k pamäti mimo povoleného rozsahu (out-of-bounds memory access) v open-source knižnici Almost Native Graphics Layer Engine (ANGLE), konkrétne v jej Metal rendereri.
Za objavenie a nahlásenie tejto chyby boli ocenené tímy Apple Security Engineering and Architecture (SEAR) a Google Threat Analysis Group (TAG), pričom Apple pripísal skupine TAG aj objavenie zraniteľnosti CVE-2025-43529.
To naznačuje, že zraniteľnosti boli pravdepodobne zneužité v silne cielených útokoch pomocou žoldnierskeho špionážneho softvéru, keďže obe ovplyvňujú WebKit – vykresľovací engine, ktorý používajú aj všetky webové prehliadače tretích strán na iOS a iPadOS, vrátane Chrome, Microsoft Edge, Mozilla Firefox a ďalších.
Tieto chyby boli opravené v nasledujúcich verziách a zariadeniach –
- iOS 26.2 a iPadOS 26.2 – iPhone 11 a novšie, iPad Pro 12,9” (3. generácia) a novšie, iPad Pro 11” (1. generácia) a novšie, iPad Air (3. generácia) a novšie, iPad (8. generácia) a novšie a iPad mini (5. generácia) a novšie
- iOS 18.7.3 a iPadOS 18.7.3 – iPhone XS a novšie, iPad Pro 13”, iPad Pro 12,9” (3. generácia) a novšie, iPad Pro 11” (1. generácia) a novšie, iPad Air (3. generácia) a novšie, iPad (7. generácia) a novšie a iPad mini (5. generácia) a novšie
- macOS Tahoe 26.2 – Macy so systémom macOS Tahoe
- tvOS 26.2 – Apple TV HD a Apple TV 4K (všetky modely)
- watchOS 26.2 – Apple Watch Series 6 a novšie
- visionOS 26.2 – Apple Vision Pro (všetky modely)
- Safari 26.2 – Macy so systémom macOS Sonoma a macOS Sequoia
Týmito aktualizáciami Apple v roku 2025 opravil už deväť zero-day zraniteľností, ktoré boli zneužívané v reálnych útokoch, vrátane CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 a CVE-2025-43300.
Viac informácií tu:
https://thehackernews.com/2025/12/apple-issues-security-updates-after-two.html