Η Apple προχώρησε στην κυκλοφορία επειγουσών ενημερώσεων ασφαλείας, προκειμένου να διορθώσει δύο zero-day ευπάθειες οι οποίες, σύμφωνα με την ίδια την εταιρεία, είχαν ήδη αξιοποιηθεί ενεργά από επιτιθέμενους στο πλαίσιο «εξαιρετικά εξελιγμένων επιθέσεων» με υψηλό βαθμό στόχευσης. Η Apple δεν έδωσε λεπτομέρειες για την ταυτότητα των δραστών ή των θυμάτων, ωστόσο το περιορισμένο εύρος των επιθέσεων παραπέμπει σε επιχειρήσεις τύπου spyware και όχι σε μαζική κυβερνοεγκληματική δραστηριότητα.
Και οι δύο ευπάθειες αφορούν το WebKit, τη μηχανή περιήγησης που χρησιμοποιεί το Safari, αλλά και όλοι οι browsers στο iOS. Αυτό αυξάνει σημαντικά το επίπεδο κινδύνου, καθώς σε ορισμένες περιπτώσεις αρκεί η απλή επίσκεψη σε κακόβουλη ιστοσελίδα για να ενεργοποιηθεί η επίθεση.
Τι αναφέρει η Apple για τις zero-day ευπάθειες
Οι δύο ευπάθειες έχουν καταγραφεί με τους κωδικούς CVE-2025-43529 και CVE-2025-14174, με την Apple να επιβεβαιώνει ότι αξιοποιήθηκαν στις ίδιες πραγματικές επιθέσεις. Σύμφωνα με το δελτίο ασφαλείας της εταιρείας, τα κενά ασφαλείας επηρέαζαν εκδόσεις του iOS πριν από το iOS 26 και οι επιθέσεις περιορίστηκαν σε «συγκεκριμένα στοχευμένα άτομα», όπως αναφέρει η nypost.
Η CVE-2025-43529 αφορά ευπάθεια τύπου use-after-free στο WebKit, η οποία μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα όταν η συσκευή επεξεργάζεται κακόβουλα διαμορφωμένο διαδικτυακό περιεχόμενο. Με απλά λόγια, επιτρέπει σε επιτιθέμενους να εκτελέσουν δικό τους κώδικα στη συσκευή, εκμεταλλευόμενοι λανθασμένη διαχείριση μνήμης από τον browser. Η Apple αποδίδει την ανακάλυψη της ευπάθειας στην Ομάδα Ανάλυσης Απειλών της Google, στοιχείο που συχνά συνδέεται με δραστηριότητες κρατικών φορέων ή εμπορικών κατασκοπευτικών λογισμικών.
Η δεύτερη ευπάθεια, CVE-2025-14174, αφορά επίσης το WebKit και σχετίζεται με αλλοίωση μνήμης. Αν και η Apple δεν τη χαρακτηρίζει άμεσα ως ευπάθεια εκτέλεσης κώδικα, τέτοιου είδους σφάλματα συχνά συνδυάζονται με άλλα κενά ασφαλείας ώστε να επιτευχθεί πλήρης παραβίαση μιας συσκευής. Και αυτή η ευπάθεια εντοπίστηκε από κοινού από την Apple και την Ομάδα Ανάλυσης Απειλών της Google.
Και στις δύο περιπτώσεις, η Apple τόνισε ότι γνώριζε αναφορές για ενεργή εκμετάλλευση των κενών «στο πεδίο», διατύπωση που χρησιμοποιείται μόνο όταν οι επιθέσεις έχουν ήδη συμβεί και δεν αποτελούν απλώς θεωρητικό κίνδυνο. Η εταιρεία ανέφερε ότι τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένης διαχείρισης μνήμης και αυστηρότερων ελέγχων επικύρωσης, χωρίς να δημοσιοποιηθούν περαιτέρω τεχνικές λεπτομέρειες.
Συσκευές που επηρεάζονται και ενημερώσεις
Η Apple διέθεσε διορθώσεις σε όλα τα υποστηριζόμενα λειτουργικά της συστήματα, συμπεριλαμβανομένων των iOS, iPadOS, macOS, Safari, watchOS, tvOS και visionOS. Σύμφωνα με τη σχετική ανακοίνωση, επηρεάζονται συσκευές όπως το iPhone 11 και νεότερα μοντέλα, πολλές γενιές iPad Pro, το iPad Air από την τρίτη γενιά και μετά, το iPad όγδοης γενιάς και νεότερα, καθώς και το iPad mini από την πέμπτη γενιά και εξής, καλύπτοντας έτσι τη συντριπτική πλειονότητα των συσκευών που παραμένουν σε ενεργή χρήση.
Οι διορθώσεις είναι διαθέσιμες στις εκδόσεις iOS 26.2 και iPadOS 26.2, iOS 18.7.3 και iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 και Safari 26.2. Επειδή η Apple απαιτεί όλοι οι browsers στο iOS να βασίζονται στο WebKit, το ίδιο υποκείμενο πρόβλημα επηρέαζε και τον Chrome στο iOS.
Πρακτικά βήματα προστασίας
Η Apple επισημαίνει ότι η άμεση εγκατάσταση ενημερώσεων είναι κρίσιμη, καθώς οι zero-day επιθέσεις βασίζονται σε ξεπερασμένο λογισμικό. Παράλληλα, συνιστά προσοχή στη χρήση συνδέσμων, ακόμη και όταν προέρχονται από γνωστές επαφές, περιορισμό της έκθεσης μέσω browser και, για άτομα υψηλού κινδύνου, ενεργοποίηση της λειτουργίας Lockdown Mode. Επιπλέον, η μείωση των διαθέσιμων προσωπικών δεδομένων στο διαδίκτυο και η επαγρύπνηση για ασυνήθιστη συμπεριφορά της συσκευής μπορούν να λειτουργήσουν προληπτικά.
Η Apple δεν αποκάλυψε ποιοι στοχοποιήθηκαν ούτε τον ακριβή τρόπο με τον οποίο πραγματοποιήθηκαν οι επιθέσεις, ωστόσο το μοτίβο παραπέμπει σε προηγούμενες εκστρατείες spyware που εστίαζαν σε δημοσιογράφους, ακτιβιστές και πολιτικά πρόσωπα. Με τις τελευταίες ενημερώσεις, η εταιρεία έχει πλέον διορθώσει επτά zero-day ευπάθειες που εκμεταλλεύτηκαν ενεργά μέσα στο 2025, συμπεριλαμβανομένων και διορθώσεων που διατέθηκαν νωρίτερα μέσα στη χρονιά για παλαιότερες συσκευές.