Az Apple sürgősségi biztonsági frissítéseket adott ki két kritikus zero-day sérülékenység kezelésére, amelyeket a vállalat megerősítése szerint valós, célzott támadásokban már aktívan kihasználtak. A javítások az Apple teljes ökoszisztémáját érintik: iOS, iPadOS, macOS, watchOS, tvOS, visionOS, valamint a Safari böngésző is frissítést kapott.
A két hiba a WebKitben található – ez az Apple böngészőmotorja, amely nemcsak a Safarit hajtja, hanem számos alkalmazásban is webes tartalmak megjelenítéséért felel. Ez különösen veszélyessé teszi a sérülékenységeket, mivel egy támadó akár egyetlen rosszindulatú weboldal betöltésével is kihasználhatja őket.
🔍 A sérülékenységek részletei
Az Apple a két zero-day hibát a következő CVE-azonosítókkal tartja nyilván:
CVE-2025-43529 – Use-after-free hiba
Ez a sérülékenység egy klasszikus use-after-free memóriahiba, amikor a rendszer olyan memóriaterületet próbál használni, amelyet már felszabadított. Az ilyen hibák gyakran lehetőséget adnak önkényes kódfuttatásra.
A hibát a Google Threat Analysis Group (TAG) fedezte fel – ez a csapat kifejezetten állami hátterű és kifinomult támadások felderítésével foglalkozik.
CVE-2025-14174 – Memóriakorrupció
Ez a hiba memóriakorrupciót okozhat a WebKitben, amely rosszindulatúan összeállított webes tartalom segítségével kihasználható. A sérülékenységet az Apple és a Google TAG kutatói közösen azonosították.
Az Apple hivatalos közleménye szerint mindkét hibát rendkívül kifinomult, célzott támadások során használták, konkrét személyek ellen.
📱 Érintett eszközök és rendszerek
A sérülékenységek az Apple eszközök széles körét érintik, többek között:
- iPhone 11 és újabb modellek
- iPad Pro (12,9″ – 3. generációtól, 11″ – 1. generációtól)
- iPad Air (3. generációtól)
- iPad (8. generációtól)
- iPad mini (5. generációtól)
A javítások az alábbi verziókban érhetők el:
- iOS 18.7.3
- iPadOS 18.7.3
- macOS Tahoe 26.2
- watchOS / tvOS / visionOS 26.2
- Safari 26.2
🤝 Összehangolt iparági fellépés
A frissítés időzítése nem véletlen. A Google szinte egy időben adott ki javítást a Chrome böngészőhöz egy kapcsolódó zero-day hiba miatt, amelyet eredetileg belső hibajegyként (466192044) tartottak nyilván, majd később a CVE-2025-14174 azonosítóhoz kötöttek.
A Google Threat Analysis Group részvétele erősen arra utal, hogy a támadások hátterében állami támogatású vagy kémkedési célú műveletek állhatnak – hasonlóan a korábbi, diplomatákat, újságírókat és aktivistákat célzó megfigyelési kampányokhoz.
🔁 Nem elszigetelt esetről van szó
Ez a frissítés tovább növeli az Apple által 2025-ben javított zero-day hibák számát, amely már legalább hétre tehető. Korábban több WebKit-hiba, valamint más kritikus rendszerkomponenseket érintő sebezhetőség is napvilágot látott.
A biztonsági szakértők párhuzamot vonnak a 2023-ban feltárt Operation Triangulation kampánnyal, ahol több zero-day láncolásával hosszú ideig észrevétlenül telepítettek kémprogramokat iPhone-okra. Bár nincs közvetlen kapcsolat, a mintázat hasonló: nagyon célzott, rendkívül kifinomult támadások.
✅ Mit tehetnek a felhasználók most?
Bár az Apple szerint a támadások nem tömegesek, hanem célzottak voltak, a kockázat miatt minden felhasználónak azonnali frissítés ajánlott.
Frissítés menete:
- iPhone / iPad: Beállítások → Általános → Szoftverfrissítés
- macOS: Rendszerbeállítások → Általános → Szoftverfrissítés
Régebbi eszközök esetén az Apple – lehetőség szerint – külön biztonsági javításokat is biztosít.
🔚 Összegzés
Az Apple legújabb sürgősségi frissítése ismét rávilágít arra, hogy a mobil eszközök kiemelt célpontjai a kifinomult kiberkémkedési műveleteknek. A WebKit mély integrációja miatt egyetlen böngészési művelet is elég lehet a támadáshoz, ha a rendszer nincs naprakészen frissítve.
A tanulság egyértelmű:
a rendszeres frissítés ma már nem kényelmi kérdés, hanem alapvető biztonsági követelmény.
