Apple brengt beveiligingsupdates uit nadat twee WebKit-fouten ontdekt zijn die in het wild zijn uitgebuit

Cyberbeveiliging
Apple brengt beveiligingsupdates uit nadat twee WebKit-fouten ontdekt zijn die in het wild zijn uitgebuit

Apple heeft vrijdag beveiligingsupdates uitgebracht voor iOS, iPadOS, macOS, tvOS, watchOS, visionOS en de Safari-webbrowser om twee beveiligingsfouten aan te pakken waarvan naar verluidt in het wild misbruik is gemaakt. Eén daarvan is dezelfde fout die eerder deze week door Google in Chrome werd gepatcht.

De kwetsbaarheden worden hieronder vermeld:

  • CVE-2025-43529 (CVSS-score: N.v.t.) – Een use-after-free kwetsbaarheid in WebKit die kan leiden tot uitvoering van willekeurige code bij het verwerken van kwaadwillig vervaardigde webinhoud
  • CVE-2025-14174 (CVSS-score: 8,8) – Een probleem met geheugenbeschadiging in WebKit dat kan leiden tot geheugenbeschadiging bij het verwerken van kwaadwillig vervaardigde webinhoud

Apple zei dat het zich ervan bewust is dat de tekortkomingen “mogelijk zijn uitgebuit in een uiterst geavanceerde aanval op specifieke gerichte individuen op versies van iOS vóór iOS 26.”

Het is vermeldenswaard dat CVE-2025-14174 dezelfde kwetsbaarheid is waarvoor Google op 10 december 2025 patches uitbracht in zijn Chrome-browser. Het wordt door de technologiegigant beschreven als een buiten de grenzen vallende geheugentoegang in de open-source Almost Native Graphics Layer Engine (ANGLE)-bibliotheek van het bedrijf, met name in de Metal-renderer.

Apple Security Engineering and Architecture (SEAR) en Google Threat Analysis Group (TAG) zijn gecrediteerd voor het ontdekken en rapporteren van de fout, terwijl Apple TAG heeft gecrediteerd voor het vinden van CVE-2025-43529.

Dit geeft aan dat de kwetsbaarheden waarschijnlijk zijn gebruikt in zeer gerichte spyware-aanvallen van huurlingen, aangezien ze beide WebKit beïnvloeden, de rendering-engine die ook wordt gebruikt in alle webbrowsers van derden op iOS en iPadOS, waaronder Chrome, Microsoft Edge, Mozilla Firefox en andere.

De fouten zijn verholpen in de volgende versies en apparaten:

  • iOS 26.2 en iPadOS 26.2 – iPhone 11 en later, iPad Pro 12,9-inch 3e generatie en later, iPad Pro 11-inch 1e generatie en later, iPad Air 3e generatie en later, iPad 8e generatie en later, en iPad mini 5e generatie en later
  • iOS 18.7.3 en iPadOS 18.7.3 – iPhone XS en later, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en later, iPad Pro 11-inch 1e generatie en later, iPad Air 3e generatie en later, iPad 7e generatie en later, en iPad mini 5e generatie en later
  • macOS Tahoe 26.2 – Macs met macOS Tahoe
  • tvOS 26.2 – Apple TV HD en Apple TV 4K (alle modellen)
  • bekijkOS 26.2 – Apple Watch Series 6 en hoger
  • visionOS 26.2 – Apple Vision Pro (alle modellen)
  • Safari 26.2 – Macs met macOS Sonoma en macOS Sequoia

Met deze updates heeft Apple nu negen zero-day-kwetsbaarheden gepatcht die in 2025 in het wild werden uitgebuit, waaronder CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200, en CVE-2025-43300.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De Google Photos Remix-functie zorgt wereldwijd voor nieuwe creatieve keuzes

ChatGPT Adult-modus wordt gelanceerd in het eerste kwartaal van 2026, omdat OpenAI zich richt op slimmere leeftijdsverificatie

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]