Apple lança atualizações para corrigir vulnerabilidades zero-day

A Apple lançou atualizações para macOS, iOS, iPadOS, tvOS, watchOS e visionOS que corrigem dezenas de vulnerabilidades, incluindo duas zero-day exploradas em ataques altamente direcionados.

As vulnerabilidades zero-day, identificadas como CVE-2025-14174 e CVE-2025-43529, afetam o motor de navegador WebKit utilizado no Safari e outros sistemas Apple. A CVE-2025-14174 corresponde a um problema de corrupção de memória, enquanto a CVE-2025-43529 é um bug do tipo use-after-free. Ambas podem ser exploradas através de conteúdo web maliciosamente criado para executar código arbitrário.

As atualizações que incluem as correções são iOS e iPadOS 26.2 e 18.7.3, macOS Tahoe 26.2, Safari 26.2 para macOS, tvOS 26.2, watchOS 26.2 e visionOS 26.2.

A Apple informou que essas vulnerabilidades foram exploradas num "ataque extremamente sofisticado contra indivíduos específicos que utilizavam versões do iOS anteriores ao iOS 26". Foram descobertas pela sua própria equipa de segurança e pelo Google Threat Analysis Group.

A falha CVE-2025-14174, que estava inicialmente identificada como uma zero-day desconhecida do Chrome, foi posteriormente confirmada pela Google como um problema de acesso fora dos limites (out-of-bounds) na biblioteca gráfica Angle, utilizada tanto no motor Blink do Chrome como no WebKit da Apple.

De acordo com o aviso da Google, esta vulnerabilidade foi revelada a 5 de dezembro, e a empresa não forneceu detalhes sobre ataques direcionados a utilizadores do Chrome.

A biblioteca Angle é utilizada por outros navegadores baseados em Chromium, como Edge, Opera, Vivaldi e Brave, todos afetados pela vulnerabilidade. A Microsoft já lançou uma atualização para o Edge corrigindo a CVE-2025-14174, assim como o Vivaldi.

A agência norte-americana CISA adicionou a CVE-2025-14174 ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV).