Apple nedávno vydal aktualizaci iOS 26.2, která opravuje dvě kritické bezpečnostní chyby v jádru prohlížeče WebKit. Obě zranitelnosti byly již aktivně zneužívány ve vysoce sofistikovaných útocích, jejichž cílem byli konkrétní jednotlivci. Podle Applu šlo o útoky spojené se špionážním softwarem.
iOS 26.2 opravuje Zero-day zranitelnosti v Safari
Zranitelnosti označené jako CVE-2025-43529 a CVE-2025-14174 se týkají WebKitu – jádra, které pohání Safari i všechny další prohlížeče na iPhonech a iPadech. To znamená, že uživatel mohl být vystaven riziku pouhým navštívením škodlivé webové stránky, bez nutnosti instalace jakéhokoli dalšího softwaru.
První chyba, CVE-2025-43529, umožňuje spuštění libovolného kódu na zařízení. Útočníci toho dosahují tím, že přimějí prohlížeč k chybné manipulaci s pamětí. Druhá chyba, CVE-2025-14174, byla objevena společným úsilím bezpečnostních týmů Applu a Google Threat Analysis Group. Také se týká chybného zpracování paměti ve WebKit jádře. Apple reagoval vylepšením správy paměti a validace vstupních dat, což by mělo zabránit opakování podobného scénáře.
Zdroj: Dotekomanie
Obě zranitelnosti byly využity ve stejném cíleném útoku, přičemž podle Applu nešlo o plošné kampaně, ale o pečlivě mířené špionážní aktivity. Přesto jsou hrozby reálné i pro běžné uživatele – například pokud by útočníci rozšířili útoky a zaměřili se na krádeže hesel či přístup do finančních aplikací.
Apple i Google mlčí o technických detailech
Z důvodu bezpečnosti se Apple i Google rozhodli nezveřejnit bližší technické podrobnosti o fungování útoků. Cílem je neposkytnout útočníkům nové vodítko k tomu, jak zranitelnosti zneužít, než si uživatelé stihnou nainstalovat aktualizaci. Všem uživatelům iPhonů a iPadů se proto důrazně doporučuje co nejdříve nainstalovat aktualizaci iOS 26.2, která tyto zranitelnosti opravuje napříč celým ekosystémem Applu. Opravy se vztahují i na iPadOS a další systémy používající WebKit. Na vašem Apple zařízení již několik dní tato aktualizace „svítí“, tak neváhejte a aktualizujte.
Zdroj: phonearena.com