اپل دو آسیب‌پذیری خطرناک در وب‌کیت را که مورد سوءاستفاده قرار گرفته‌اند برطرف کرد

شرکت اپل روز جمعه ۲۱ آذر ۱۴۰۴ (۱۲ دسامبر) با انتشار به‌روزرسانی‌های امنیتی برای سیستم‌های عامل خود، دو آسیب‌پذیری خطرناک در موتور وب‌کیت را که به گفته این شرکت به‌صورت فعال در حملات واقعی مورد سوءاستفاده قرار گرفته‌اند برطرف کرد.

این آسیب‌پذیری‌ها که به ترتیب با شناسه‌های CVE-2025-43529 و CVE-2025-14174 ثبت شده‌اند به مهاجمان امکان می‌دادند در صورت مشاهده محتوای مخرب در وب، کد دلخواه را روی دستگاه اجرا کرده یا حافظه آن را تخریب کنند.

اپل اعلام کرده است که این نقص‌ها ممکن است در «حملاتی بسیار پیچیده و هدفمند» علیه افراد خاص و روی نسخه‌های پیش از آی‌اواس ۲۶ مورد بهره‌برداری قرار گرفته باشند.

نکته قابل‌توجه اینکه آسیب‌پذیری CVE-2025-14174 پیش‌تر در مرورگر کروم نیز کشف و توسط گوگل در تاریخ ۱۹ آذر وصله شده بود. این ایراد در کتابخانه ANGLE مربوط به رندر Metal شناسایی شده و از نوع دسترسی خارج از محدوده به حافظه است.

کشف و گزارش هر دو نقص به صورت مشترک توسط تیم مهندسی امنیت اپل (SEAR) و گروه تحلیل تهدیدات گوگل (TAG) انجام شده و نشانه‌ای از استفاده احتمالی این باگ‌ها در حملات جاسوس‌افزارها است؛ به‌ویژه با توجه به این‌که وب‌کیت در تمام مرورگرهای شخص ثالث روی آی‌اواس و آی‌پداواس از جمله کروم، فایرفاکس و اج نیز استفاده می‌شود.

نسخه‌هایی که آسیب‌پذیری‌ها در آن‌ها برطرف شده عبارتند از:

• iOS و iPadOS نسخه 26.2 برای آیفون ۱۱ به بعد و مدل‌های جدیدتر آیپد
• iOS و iPadOS نسخه 18.7.3 برای آیفون XS به بعد
• macOS Tahoe نسخه 26.2
• Safari نسخه 26.2 برای macOS Sonoma و Sequoia
• watchOS، tvOS و visionOS نسخه 26.2 برای دستگاه‌های سازگار

با این به‌روزرسانی، تعداد آسیب‌پذیری‌های روز صفر برطرف‌شده توسط اپل در سال ۲۰۲۵ به ۹ مورد رسیده است. نقص‌هایی که پیش‌تر نیز هدف حمله قرار گرفته بودند شامل CVE-2025-24085، CVE-2025-24200، CVE-2025-31200 و دیگر موارد هستند.

به کاربران محصولات اپل به‌ویژه دستگاه‌های قابل‌حمل توصیه می‌شود هرچه سریع‌تر سیستم‌عامل و مرورگر خود را به آخرین نسخه موجود به‌روزرسانی کنند.

توضیحات بیشتر:

Apple Issues Security Updates After Two WebKit Flaws Found Exploited in the Wild