A Apple lançou atualizações emergenciais para corrigir duas vulnerabilidades zero-day exploradas em um ataque “extremamente sofisticado” direcionado a usuários específicos.
As falhas, identificadas como CVE-2025-43529 e
CVE-2025-14174
, foram corrigidas em resposta ao mesmo incidente de exploração reportado.
Segundo o boletim de segurança da Apple, “a empresa tem conhecimento de um relatório indicando que essa vulnerabilidade pode ter sido explorada em um ataque altamente sofisticado contra alvos específicos que utilizam versões do iOS anteriores ao iOS 26”.
A CVE-2025-43529 é uma falha do tipo use-after-free no WebKit que permite a execução remota de código ao processar conteúdos web maliciosamente manipulados.
Essa vulnerabilidade foi descoberta pelo Threat Analysis Group do Google.
Já a
CVE-2025-14174
trata-se de um problema de corrupção de memória no WebKit, que também pode levar a falhas críticas.
Ela foi identificada conjuntamente pela Apple e pelo mesmo grupo do Google.
Os dispositivos afetados por essas vulnerabilidades incluem modelos a partir do iPhone 11, iPad Pro 12,9” (3ª geração e posteriores), iPad Pro 11” (1ª geração em diante), iPad Air (3ª geração em diante), iPad (8ª geração em diante) e iPad mini (5ª geração em diante).
Na última quarta-feira, o Google corrigiu uma zero-day misteriosa no Google Chrome, inicialmente classificada como “[N/A][466192044] High: Under coordination.” Posteriormente, a empresa atualizou seu comunicado, identificando o problema como “
CVE-2025-14174
: acesso fora dos limites na memória do ANGLE” — o mesmo CVE corrigido pela Apple, indicando uma divulgação coordenada entre as duas empresas.
A Apple não revelou detalhes técnicos dos ataques, limitando-se a informar que os golpes miraram usuários de versões do iOS anteriores à 26.
Como ambos os bugs atingem o WebKit — mecanismo utilizado pelo Chrome no iOS — o padrão indica ataques de spyware altamente direcionados.
Apesar de terem sido exploradas apenas em incidentes específicos, recomenda-se fortemente que todos os usuários instalem as atualizações de segurança mais recentes o quanto antes, para minimizar riscos de exploração contínua.
Com essas correções, a Apple totaliza sete vulnerabilidades zero-day corrigidas em 2025, incluindo
CVE-2025-24085
(janeiro),
CVE-2025-24200
(fevereiro),
CVE-2025-24201
(março) e outras duas em abril (
CVE-2025-31200
e
CVE-2025-31201
).
Em setembro, a empresa também lançou backports para um zero-day rastreado como CVE-2025-43300, contemplando dispositivos mais antigos com iOS 15.8.5 / 16.7.12 e iPadOS 15.8.5 / 16.7.12.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...