„Apple“ išleido avarinius atnaujinimus, kad pataisytų du nulinės dienos pažeidžiamumus, kurie buvo panaudoti „itin sudėtingoje atakoje“, nukreiptoje į konkrečius asmenis.
Nulinės dienos stebimos kaip CVE-2025-43529 ir CVE-2025-14174 ir buvo išduotos reaguojant į tą patį praneštą išnaudojimą.
„Apple žino apie pranešimą, kad ši problema galėjo būti išnaudota per itin sudėtingą ataką prieš konkrečius tikslinius asmenis prieš iOS 26 versijose“, – rašoma Apple saugos biuletenyje.
CVE-2025-43529 yra WebKit naudojimo po nemokamo nuotolinio kodo vykdymo trūkumas, kurį galima išnaudoti apdorojant kenkėjiškai sukurtą žiniatinklio turinį. „Apple“ teigia, kad trūkumą aptiko „Google“ grėsmių analizės grupė.
CVE-2025-14174 yra „WebKit“ atminties sugadinimo klaida, dėl kurios gali būti sugadinta atmintis. „Apple“ teigia, kad trūkumą aptiko ir „Apple“, ir „Google“ grėsmių analizės grupė.
Įrenginiai, kuriuos paveikė abu trūkumai, yra šie:
-
iPhone 11 ir naujesnės versijos
-
12,9 colio iPad Pro (3 kartos ir naujesnės kartos)
-
11 colių iPad Pro (1 karta ir naujesnė versija)
-
iPad Air (3 kartos ir naujesnės kartos)
-
iPad (8 karta ir naujesnė)
-
iPad mini (5 kartos ir naujesnės kartos)
„Apple“ ištaisė OS 26.2 ir iPadOS 26.2, iOS 18.7.3 ir iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 ir Safari 26.2 trūkumus.
Trečiadienį „Google“ ištaisė paslaptingą nulinės dienos „Google Chrome“ trūkumą, iš pradžių pažymėdama jį kaip „(N/A)(466192044) Aukšta: derinama“.
Tačiau „Google“ atnaujino patarimą, kad identifikuotų klaidą kaip „CVE-2025-14174: Out-of-bounds memory access in ANGLE“, kuri yra ta pati „Apple“ pataisyta CVE, nurodant suderintą dviejų įmonių atskleidimą.
„Apple“ neatskleidė techninės informacijos apie atakas, išskyrus tai, kad jos buvo nukreiptos į asmenis, naudojančius „iOS“ versijas iki „iOS 26“.
Kadangi abu trūkumai turi įtakos „WebKit“, kurį „Google Chrome“ naudoja „iOS“, ši veikla atitinka itin tikslines šnipinėjimo programų atakas.
Nors šie trūkumai buvo naudojami tik tikslinėms atakoms, vartotojams primygtinai rekomenduojama nedelsiant įdiegti naujausius saugos naujinimus, kad sumažintumėte nuolatinio išnaudojimo riziką.
Su šiais pataisymais „Apple“ dabar pataisė septynis nulinės dienos pažeidžiamumus, kurie buvo išnaudoti gamtoje 2025 m., pradedant CVE-2025-24085 sausio mėn., CVE-2025-24200 vasario mėn., CVE-2025-24201 kovo mėn. ir dar dviem balandį (CVE-3-120). CVE-2025-31201).
Rugsėjo mėn. „Apple“ taip pat grąžino nulinės dienos pataisymą, stebimą kaip CVE-2025-43300, į senesnius įrenginius, kuriuose veikia iOS 15.8.5 / 16.7.12 ir iPadOS 15.8.5 / 16.7.12.
Sugedęs IAM yra ne tik IT problema – poveikis skleidžiasi visame versle.
Šiame praktiniame vadove aprašoma, kodėl tradicinė IAM praktika neatitinka šiuolaikinių reikalavimų, pateikiami pavyzdžiai, kaip atrodo „geras“ IAM, ir paprastas kontrolinis sąrašas, kaip sukurti keičiamo dydžio strategiją.
