Jak podaje SecurityWeek, Apple wydało aktualizacje systemów macOS i iOS, aby załatać dziesiątki luk w zabezpieczeniach, w tym dwa zero-daye, które według opisów towarzyszących wydaniu były wykorzystywane w wysoce ukierunkowanych atakach.
Zgodnie z ostrzeżeniami Apple luki dnia zerowego wpływają na WebKit, silnik przeglądarki obecny w Safari, iOS, iPadOS, macOS, tvOS, watchOS i visionOS.
Jedna z luk dnia zerowego, CVE-2025-14174, została opisana jako problem z uszkodzeniem pamięci, a druga, CVE-2025-43529, to błąd typu „use-after-free”. Oba pozwalają na wykorzystanie złośliwie spreparowanej zawartości internetowej do wykonania dowolnego kodu.
Apple ogłosiło poprawki dla luk CVE-2025-14174 i CVE-2025-43529 wraz z wydaniem systemów iOS i iPadOS 26.2, iOS i iPadOS 18.7.3, macOS Tahoe 26.2, Safari 26.2 dla macOS, tvOS 26.2, watchOS 26.2 oraz visionOS 26.2.
Ostrzeżenia Apple wskazują, iż podatności zostały wykorzystane w „niezwykle wyrafinowanym ataku na określone osoby, w wersjach iOS starszych niż iOS 26”.
Gigant technologiczny poinformował, iż luki zostały odkryte przez jego własny zespół ds. bezpieczeństwa oraz grupę ds. analizy zagrożeń Google.
Krótki opis ataków wskazuje to, iż zero-daye zostały prawdopodobnie wykorzystane przez komercyjnych dostawców systemu szpiegującego, o których wiadomo, iż atakują systemy Android, iOS, macOS, Chrome i WhatsApp.
Tajemniczy zero-day
CVE-2025-14174 to tajemniczy błąd dnia zerowego w przeglądarce Chrome, o którym pisaliśmy tutaj.
W skrócie – Google ogłosiło w zeszłym tygodniu poprawki tajemniczego błędu w swojej przeglądarce. Firma poinformowała, iż zaobserwowała lukę w zabezpieczeniach, ale początkowo nie miała ona identyfikatora CVE ani żadnego opisu poza oceną „wysokiej wagi”.
Teraz Google zaktualizowało swoje ostrzeżenie, wyjaśniając, iż wcześniej niezidentyfikowany błąd dnia zerowego to CVE-2025-14174.
Firma twierdzi, iż luka w zabezpieczeniach to problem z dostępem do pamięci poza zakresem w bibliotece graficznej Angle. Ponieważ Angle jest używany zarówno przez silnik przeglądarki Blink w Chrome, jak i WebKit, błąd dnia zerowego wpływa zarówno na produkty Google, jak i Apple.
Wygląda na to, iż Google i Apple koordynowały ujawnianie i łatanie luki. Według komunikatu Google problem ujrzał światło dzienne 5 grudnia.
Google nie udostępniło żadnych informacji na temat ataków wymierzonych w użytkowników Chrome.
Warto również zauważyć, iż biblioteka Angle jest używana przez Chromium, a inne przeglądarki oparte na Chromium, takie jak Edge, Opera, Vivaldi i Brave, również są dotknięte tym problemem.
Microsoft zaktualizował już przeglądarkę Edge, aby usunąć lukę CVE-2025-14174. Vivaldi również został zaktualizowany.
Na koniec podkreślmy, iż CISA dodała lukę CVE-2025-14174 do swojego katalogu znanych luk w zabezpieczeniach (KEV).