Apple naprawia luki typu zero-day w awaryjnej aktualizacji zabezpieczeń

- Technologia - 28 grudnia, 2025
Apple naprawia luki typu zero-day w awaryjnej aktualizacji zabezpieczeń
26-letni redaktor technologiczny w Echo Biznesu, to energiczny i błyskotliwy dziennikarz…
wyświetleń 13mins 0 opinii
Apple naprawia luki typu zero-day w awaryjnej aktualizacji zabezpieczeń

NOWYMożesz teraz słuchać artykułów Fox News!

Apple wypuściło awaryjne aktualizacje zabezpieczeń naprawiające dwie luki dnia zerowego, które napastnicy aktywnie wykorzystywali w wysoce ukierunkowanych atakach.

Firma określiła to działanie jako „niezwykle wyrafinowany atak” wymierzony w konkretne osoby. Chociaż Apple nie zidentyfikowało napastników ani ofiar, ograniczony zakres zdecydowanie sugeruje działania w stylu oprogramowania szpiegującego, a nie powszechną cyberprzestępczość.

Obie wady dotyczą WebKit, silnika przeglądarki Safari i wszystkich przeglądarek na iOS. W rezultacie ryzyko jest znaczne. W niektórych przypadkach samo odwiedzenie złośliwej strony internetowej może wystarczyć, aby wywołać atak.

Poniżej wyjaśniamy, co oznaczają te luki i wyjaśniamy, w jaki sposób możesz lepiej się chronić.

Zarejestruj się, aby otrzymać mój DARMOWY raport CyberGuy
Otrzymuj moje najlepsze wskazówki techniczne, pilne alerty dotyczące bezpieczeństwa i ekskluzywne oferty prosto do swojej skrzynki odbiorczej. Dodatkowo otrzymasz natychmiastowy dostęp do mojego Przewodnika po przetrwaniu w oszustwie — bezpłatnie, jeśli dołączysz do mojego CYBERGUY.COM biuletyn.

Firma Apple udostępniła aktualizacje awaryjne po potwierdzeniu, że w atakach ukierunkowanych aktywnie wykorzystywano dwie luki typu zero-day WebKit. (Reuters/Thomas Peter/zdjęcie pliku)

NOWE OSZUSTWA IPHONE OSZACHUJĄ WŁAŚCICIELI DO ODDAWANIA TELEFONÓW

Co Apple mówi o lukach typu zero-day

Obie luki są oznaczone jako CVE-2025-43529 i CVE-2025-14174, a firma Apple potwierdziła, że ​​obie zostały wykorzystane w tych samych atakach w świecie rzeczywistym. Według biuletynu bezpieczeństwa Apple luki te wykorzystano w wersjach systemu iOS wydanych przed iOS 26, a ataki ograniczały się do „określonych docelowych osób”.

CVE-2025-43529 to luka w zabezpieczeniach pakietu WebKit typu „use after free”, która może prowadzić do wykonania dowolnego kodu, gdy urządzenie przetwarza złośliwie spreparowaną zawartość internetową. Mówiąc najprościej, umożliwia atakującym uruchomienie własnego kodu na urządzeniu, oszukując przeglądarkę i powodując niewłaściwą obsługę pamięci. Firma Apple przypisała odkrycie tej luki zespołowi Google Threat Analysis Group, który często stanowi silny wskaźnik aktywności oprogramowania szpiegującego na poziomie państwa narodowego lub komercyjnego.

Druga usterka, CVE-2025-14174, również jest problemem WebKit, tym razem związanym z uszkodzeniem pamięci. Chociaż Apple opisuje skutki jako uszkodzenie pamięci, a nie bezpośrednie wykonanie kodu, tego typu błędy są często łączone z innymi lukami w zabezpieczeniach, aby w pełni zagrozić urządzeniu. Apple twierdzi, że problem ten został odkryty wspólnie przez grupę ds. analizy zagrożeń Apple i Google.

W obu przypadkach Apple przyznał, że wiedział o raportach potwierdzających aktywne wykorzystywanie w środowisku naturalnym. To sformułowanie jest ważne, ponieważ Apple zazwyczaj rezerwuje je dla sytuacji, w których miały już miejsce ataki, a nie tylko dla teoretycznych zagrożeń. Firma twierdzi, że naprawiła błędy poprzez ulepszone zarządzanie pamięcią i lepsze kontrole walidacyjne, nie udostępniając głębszych szczegółów technicznych, które mogłyby pomóc atakującym w replikowaniu exploitów.

Urządzenia, których to dotyczy, i oznaki skoordynowanego ujawnienia

Apple wypuściło poprawki w obsługiwanych systemach operacyjnych, w tym w najnowszych wersjach iOS, iPadOS, macOS, Safari, watchOS, tvOS i VisionOS.

Zgodnie z zaleceniami Apple, dotkniętymi urządzeniami są iPhone 11 i nowsze modele, iPad Pro wielu generacji, iPad Air od trzeciej generacji i nowsze, iPad ósmej generacji i nowsze oraz iPad mini począwszy od piątej generacji. Dotyczy to zdecydowanej większości iPhone’ów i iPadów, które są nadal w użyciu.

Apple załatało luki w całym swoim ekosystemie. Poprawki są dostępne w systemach iOS 26.2 i iPadOS 26.2, iOS 18.7.3 i iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, VisionOS 26.2 i Safari 26.2. Ponieważ Apple wymaga, aby wszystkie przeglądarki iOS korzystały z WebKit pod maską, ten sam podstawowy problem dotyczył także przeglądarki Chrome na iOS.

6 kroków, które możesz podjąć, aby uchronić się przed takimi lukami

Oto sześć praktycznych kroków, które możesz podjąć, aby zachować bezpieczeństwo, szczególnie w świetle takich wysoce ukierunkowanych ataków dnia zerowego.

PRAWDZIWE E-MAILE WSPARCIA APPLE WYKORZYSTANE W NOWYCH OSZUSTWACH PHISHINGOWYCH

Ponieważ WebKit obsługuje przeglądarkę Safari i wszystkie przeglądarki iOS, nawet złośliwa strona internetowa może wystarczyć, aby narazić na ryzyko niezałatane urządzenia. (Jakub Porzycki/NurPhoto za pośrednictwem Getty Images)

1) Zainstaluj aktualizacje natychmiast po ich pojawieniu się

To wydaje się oczywiste, ale ma większe znaczenie niż cokolwiek innego. Ataki dnia zerowego polegają na osobach korzystających z przestarzałego oprogramowania. Jeśli Apple wyśle ​​aktualizację awaryjną, zainstaluj ją tego samego dnia, jeśli to możliwe. Opóźnianie aktualizacji to często jedyne, czego potrzebują osoby atakujące okna. Jeśli często zapominasz o aktualizacjach, pozwól swoim urządzeniom zająć się nimi za Ciebie. Włącz automatyczne aktualizacje dla iOS, iPadOS, macOS i Safari. W ten sposób będziesz chroniony, nawet jeśli przegapisz wiadomości lub będziesz w podróży.

2) Uważaj na linki, nawet od osób, które znasz

Większość exploitów WebKit zaczyna się od złośliwej zawartości internetowej. Unikaj klikania losowych linków wysyłanych przez SMS, WhatsApp, Telegram lub e-mail, chyba że się ich spodziewasz. Jeśli coś jest nie tak, otwórz witrynę później, samodzielnie wpisując adres.

Najlepszym sposobem zabezpieczenia się przed złośliwymi linkami instalującymi złośliwe oprogramowanie i potencjalnie uzyskującymi dostęp do Twoich prywatnych informacji jest zainstalowanie oprogramowania antywirusowego na wszystkich urządzeniach. Ta ochrona może również Cię ostrzec e-maile phishingowe i oszustw związanych z oprogramowaniem ransomware, chroniąc Twoje dane osobowe i zasoby cyfrowe.

Poznaj moje typy najlepszych zwycięzców ochrony antywirusowej 2025 dla urządzeń z systemem Windows, Mac, Android i iOS na stronie Cyberguy.com.

3) Użyj konfiguracji przeglądania przypominającej blokadę

Jeśli jesteś dziennikarzem, aktywistą lub osobą mającą do czynienia z wrażliwymi informacjami, rozważ zmniejszenie powierzchni ataku. Używać Tylko Safariunikaj niepotrzebnych rozszerzeń przeglądarki i ogranicz częstotliwość otwierania łączy w aplikacjach do przesyłania wiadomości.

4) Włącz tryb blokady, jeśli czujesz się zagrożony

Tryb blokady Apple został zaprojektowany specjalnie z myślą o atakach ukierunkowanych. Ogranicza niektóre technologie sieciowe, blokuje większość załączników wiadomości i ogranicza wektory ataku powszechnie stosowane przez oprogramowanie szpiegujące. Nie jest to rozwiązanie dla każdego, ale istnieje w takich sytuacjach.

5) Ogranicz ujawnienie danych osobowych

Ukierunkowane ataki często rozpoczynają się od profilowania. Im więcej danych osobowych o Tobie krąży w Internecie, tym łatwiej jest wybrać Cię jako cel. Usuwanie danych z witryn brokerów i zaostrzenie ustawień prywatności w mediach społecznościowych może obniżyć Twoją widoczność.

Chociaż żadna usługa nie może zagwarantować całkowitego usunięcia Twoich danych z Internetu, a usługę usuwania danych to naprawdę mądry wybór. Nie są tanie i Twoja prywatność też nie. Usługi te wykonują całą pracę za Ciebie, aktywnie monitorując i systematycznie usuwając Twoje dane osobowe z setek stron internetowych. To daje mi spokój ducha i okazało się najskuteczniejszym sposobem na usunięcie danych osobowych z Internetu. Ograniczając dostępne informacje, zmniejszasz ryzyko, że oszuści będą porównywać dane pochodzące z naruszeń z informacjami, które mogą znaleźć w ciemnej sieci, co utrudni im namierzenie Ciebie.

Sprawdź moje najlepsze usługi usuwania danych i skorzystaj z bezpłatnego skanowania, aby dowiedzieć się, czy Twoje dane osobowe nie znajdują się już w Internecie, odwiedzając stronę Cyberguy.com.

Uzyskaj bezpłatne skanowanie, aby sprawdzić, czy Twoje dane osobowe nie są już dostępne w Internecie: Cyberguy.com.

Apple zachęca użytkowników do instalowania najnowszych aktualizacji, zwłaszcza tych, którzy mogą być narażeni na ukierunkowane zagrożenia wyższego ryzyka. (Cheng Xin/Getty Images)

6) Zwróć uwagę na nietypowe zachowanie urządzenia

Czasami mogą wystąpić nieoczekiwane awarie, przegrzanie, nagłe rozładowanie baterii lub samoczynne zamknięcie przeglądarki Safari znaki ostrzegawcze. Nie oznacza to automatycznie, że Twoje urządzenie zostało przejęte. Jeśli jednak coś stale wydaje się być nie tak, natychmiastowa aktualizacja i zresetowanie urządzenia jest mądrym posunięciem.

Kluczowe danie na wynos Kurta

Apple nie udostępniło szczegółów na temat tego, kto był celem ani w jaki sposób przeprowadzono ataki. Jednakże wzorzec ten ściśle pasuje do wcześniejszych kampanii dotyczących oprogramowania szpiegującego, które skupiały się na dziennikarzach, aktywistach, osobistościach politycznych i innych osobach interesujących operatorów nadzoru. Dzięki tym łatkom Apple naprawiło już siedem luk typu zero-day, które zostały wykorzystane w środowisku naturalnym tylko w 2025 r. Obejmuje to wady ujawnione na początku tego roku i przeniesiona poprawka we wrześniu dla starszych urządzeń.

Czy zainstalowałeś najnowszą Aktualizacja iOS lub iPadOS już, czy nadal to odkładasz? Daj nam znać, pisząc do nas na adres Cyberguy.com.

KLIKNIJ TUTAJ, ABY POBRAĆ APLIKACJĘ FOX NEWS

Zarejestruj się, aby otrzymać mój DARMOWY raport CyberGuy
Otrzymuj moje najlepsze wskazówki techniczne, pilne alerty dotyczące bezpieczeństwa i ekskluzywne oferty prosto do swojej skrzynki odbiorczej. Dodatkowo otrzymasz natychmiastowy dostęp do mojego Przewodnika po przetrwaniu w oszustwie — bezpłatnie, jeśli dołączysz do mojego CYBERGUY.COM biuletyn.

Prawa autorskie 2025 CyberGuy.com. Wszelkie prawa zastrzeżone.

Kurt „CyberGuy” Knutsson to wielokrotnie nagradzany dziennikarz technologiczny, który głęboko kocha technologię, sprzęt i gadżety, które czynią życie lepszym, dzięki swoim artykułom dla Fox News i FOX Business, rozpoczynając poranki w „FOX & Friends”. Masz pytanie techniczne? Zdobądź darmowy biuletyn CyberGuy Kurta, podziel się swoim głosem, pomysłem na historię lub skomentuj na CyberGuy.com.

źródło

Czytaj też
USPTO ponownie zbada niedawno zatwierdzony patent Nintendo
6 listopada, 2025
USPTO ponownie zbada niedawno zatwierdzony patent Nintendo
Przestępcy testują skradzione dane, otwierając konta depozytowe na Twoje nazwisko
9 grudnia, 2025
Przestępcy testują skradzione dane, otwierając konta depozytowe na Twoje nazwisko
USPTO ponownie zbada niedawno zatwierdzony patent Nintendo
21 marca, 2025
Studium Tow Center ponownie pokazuje „AI” do bani w przekazywaniu dokładnych wiadomości
USPTO ponownie zbada niedawno zatwierdzony patent Nintendo
21 listopada, 2025
Pozew Kena Paxtona dotyczący Tylenolu zaczyna się okropnie
0 0 głosów
Article Rating
Subskrybuj
Powiadom o
guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
Wszystkie
© Copyright 2026 - Echo Biznesu . All Rights Reserved
Follow by Email
Facebook
X (Twitter)
LinkedIn
Share
Copy link
Adres URL został pomyślnie skopiowany!
0
Would love your thoughts, please comment.x