Apple, 26’dan önceki iOS sürümlerini çalıştıran belirli iPhone kullanıcılarını hedef alan karmaşık saldırılarda aktif olarak kullanılan iki WebKit sıfır gün kusurunu yamaladı.
12 Aralık 2025’te yayımlanan iOS 26.2 ve iPadOS 26.2 güncellemeleri WebKit’te CVE-2025-43529 ve CVE-2025-14174’ü ele almaktadır. CVE-2025-43529, Google Tehdit Analiz Grubu tarafından keşfedilen, kötü amaçlı web içeriği yoluyla rastgele kod yürütülmesine olanak tanıyan bir ücretsiz kullanım sonrası güvenlik açığı içerir.
CVE-2025-14174, Apple ve Google TAG’a atfedilen, ilgili bir hafıza bozulması sorunudur ve her iki kusur da hedefli casus yazılım kampanyalarıyla bağlantılıdır.
| CVE Kimliği | Bileşen | Darbe | Tanım | Araştırmacı(lar) |
|---|---|---|---|---|
| CVE-2025-43529 | Web Kiti | Rastgele kod yürütme | Ücretsiz kullanım, geliştirilmiş bellek yönetimi | Google Tehdit Analizi Grubu |
| CVE-2025-14174 | Web Kiti | Bellek bozulması | Geliştirilmiş doğrulama | Apple ve Google ETİKETİ |
Bu kusurlar iPhone 11 ve sonraki modellerin yanı sıra belirli iPad Pro, Air ve mini modellerini de etkiliyor.
Diğer Kritik Düzeltmeler
Apple, Kernel, Foundation, Screen Time ve curl gibi bileşenlerde 30’dan fazla güvenlik açığını çözdü. Dikkate değer sorunlar arasında, Alibaba Group araştırmacıları tarafından keşfedilen, kök ayrıcalık yükseltmesine izin veren bir Çekirdek tamsayı taşması (CVE-2025-46285) ve Safari geçmişini veya kullanıcı verilerini açığa çıkaran birden fazla Ekran Süresi günlük kaydı kusuru (CVE-2025-46277, CVE-2025-43538) yer alıyor.
WebKit, tür karışıklığı, arabellek taşmaları ve çökmeler için ek yamalar gördü (örneğin, CVE-2025-43541, CVE-2025-43501). Ayrıca libarchive (CVE-2025-5918) ve curl (CVE-2024-7264, CVE-2025-9086) üzerindeki açık kaynak kusurları da giderildi.
| Bileşen | CVE Kimliği | Darbe | Anahtar Araştırmacı |
|---|---|---|---|
| Çekirdek | CVE-2025-46285 | Kök ayrıcalıkları | Kaitao Xie, Xiaolong Bai |
| Ekran Süresi | CVE-2025-46277 | Safari geçmişine erişme | Kirin (@Pwnrin) |
| Mesajlar | CVE-2025-46276 | Hassas verilere erişin | Rosyna Keller |
Etkilenen Cihazlar ve Azaltma
Etkiler iPhone 11+, iPad Pro 12,9 inç (3. nesil+), iPad Pro 11 inç (1. nesil+), iPad Air (3. nesil+), iPad (8. nesil+) ve iPad mini’yi (5. nesil+) kapsar.
Kullanıcılar, önceki casus yazılım saldırılarında görülen modellerle tutarlı olarak, bu hedefli açıklardan kaynaklanan riskleri azaltmak için Ayarlar > Genel > Yazılım Güncelleme yoluyla hemen güncelleme yapmalıdır. Apple, saldırganlara ilişkin herhangi bir ayrıntı belirtmiyor ancak Google ile iş birliği, ulus devlet düzeyindeki tehditlerin altını çiziyor.
| Ürün | Etkilenen Sürümler | Yamalı Sürüm | Uyumlu Cihazlar |
|---|---|---|---|
| iOS | 26.2’den önce (26 öncesi kullanıldı) | 26.2 | iPhone 11 ve sonrası |
| iPadOS | 26.2’den önce (26 öncesi kullanıldı) | 26.2 | iPad Pro 12,9″ (3. nesil+), iPad Pro 11″ (1. nesil+), iPad Air (3. nesil+), iPad (8. nesil+), iPad mini (5. nesil+) |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
