Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Apple Patchs користи повеќе Zero-Day програми во „софистициран“ напад

Објавено: 16.12.2025

Две „нула-ден“ ранливости на Apple откриени овој месец имаат преклопување со уште една мистериозна „нула-ден“ грешка што Google ја закрпи минатата недела.

Apple неодамна закрпи две „нула-денови“, од кои едната дели CVE со мистериозна ранливост на Google објавена минатата недела. Двете грешки беа во WebKit, енџинот за веб-прелистувачи со отворен код на Apple. Според белешките за закрпа, CVE-2025-43529 е грешка во која обработката на злонамерно изработена веб-содржина може да доведе до произволно извршување на код.

Опишана е како проблем „use-after-free“ и е поправена со подобрено управување со меморијата. CVE-2025-14174 е ранливост на оштетување на меморијата, слично предизвикана од обработка на злонамерно изработена веб-содржина. Таа е адресирана со подобрена валидација. Двете ранливости беа откриени во соработка со Групата за анализа на закани (TAG) на Google. Apple распореди закрпи преку уредите iOS 26.2, iPadOS 26.2, iOS 18.7.3, iPadOS 18.7.3 и macOS Tahoe 26.2 на 12 декември.

Најзначајниот детаљ во белешките за закрпа за двата CVE е дека „Apple е свесен за извештај дека оваа грешка можеби е искористена во исклучително софистициран напад против конкретни таргетирани поединци на верзии на iOS пред iOS 26.“ Apple неодамна го користи овој тип на јазик во одредени безбедносни совети за да опише работи како што се експлоатациите користени во комерцијален шпионски софтвер, но не обезбеди дополнителни детали во врска со експлоатацијата.

На пример, во септември Apple издаде известувања до конкретни клиенти кои биле таргетирани во напади со шпионски софтвер, пракса што компанијата ја спроведува од 2021 година. Известувањата се совпаднаа со објавувањето на Apple за CVE-2025-43300, „нула-ден“ грешка во неговата рамка ImageIO, која наводно била користена во „исклучително софистициран напад“, според компанијата.

Јас сум тука да ви помогнам. Еве го преводот на македонски, без никаква измена на текстот:

Продавачите Молчат за Деталите Околу Грешките во WebKit и Chrome

Всушност, деталите остануваат оскудни во врска со овие ранливости во целина, и покрај тоа што можеби се користени во „исклучително софистициран напад“.

Минатата недела, Google објави дека закрпил „нула-ден“ ранливост во Chrome во координација со друга страна, иако не сподели повеќе информации. Технолошкиот гигант ги ажурираше своите белешки за закрпа на 12 декември, откривајќи дека мистериозната ранливост е всушност претходно споменатата CVE-2025-14174.

Тука, продавачот ја опиша како ранливост на пристап до меморија надвор од границите (out of bounds memory access) во слојот за апстракција на графичкиот енџин на Google, ANGLE.

Google соопшти дека грешката била пронајдена од тимот за Безбедносно Инженерство и Архитектура (SEAR) на Apple и Групата за Анализа на Закани на Google на 5 декември. Dark Reading контактираше со Apple и Google за да праша зошто деталите се сведени на минимум, но ниту еден од продавачите не одговори до моментот на печатење.

Енди Пијаца, виш директор за разузнавање за закани во Unit 42 на Palo Alto Networks, за Dark Reading вели дека иако закрпите се поправки за бранителите, тие исто така можат да бидат „нацрт за напаѓачите“. „Продавачите се претпазливи со транспарентноста бидејќи објавувањето закрпа предизвикува состојба на трка (race condition)“, вели тој.

„Предизвикот е да се осигура дека клиентите се безбедни пред лошите актери да можат обратно да го инженерираат ажурирањето, да изградат експлоат и да ја оружат ранливоста.“ Во меѓувреме, Даглас Меки, директор за разузнавање за ранливости во Rapid7, вели дека, општо земено, кога продавачите закрпуваат нешто без многу технички детали, тоа обично е намерна одлука за намалување на ризикот, наместо тајност заради самата тајност.

„За овие проблеми поврзани со Apple и ANGLE, тивкото, координирано објавување силно сугерира дека продавачите ги гледале грешките како високоризични и потенцијално веќе познати на способни противници“, вели Меки.

„Грешките во безбедноста на меморијата во споделените графички компоненти се исклучително вредни бидејќи се меѓу-платформски и често може да се поврзат, што одговара на профилот на напредна експлоатација, вклучувајќи комерцијален шпионски софтвер или алатки усогласени со државата. Иако треба да бидеме внимателни да не претеруваме со припишување без јавни индикатори, моделот на одговор имплицира дека ова е нешто што продавачите сакале брзо да го запрат без да емитуваат детали што би можеле да овозможат поширока злоупотреба.“

Извори:

  • Dark Reading – Apple Patches More Zero-Days Used in ‘Sophisticated’ Attack Dark Reading