← Tornar als articles
Seguretat· 3 min de lectura

CVE-2025-43529: zero-day a WebKit d'Apple explotat en atacs dirigits

Què és CVE-2025-43529

CVE-2025-43529 és un error de tipus use-after-free (ús de memòria després d’alliberar-la, CWE-416) a WebKit, el motor de navegació que hi ha darrere de Safari i de qualsevol navegador a iOS i iPadOS. Quan WebKit processa contingut web manipulat a posta, una zona de memòria que ja estava alliberada torna a fer-se servir. Aquest descuit serveix a un atacant per corrompre memòria i, estirant el fil, arribar a executar codi arbitrari al dispositiu de la víctima.

La National Vulnerability Database (NVD) li dona una puntuació CVSS 3.1 de 8.8 (alta), amb vector AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Dit clar: atac remot, de baixa complexitat, sense privilegis previs, i només cal que la víctima interactuï, per exemple obrint una pàgina web preparada. El cop a confidencialitat, integritat i disponibilitat és alt en els tres casos.

A qui afecta

El defecte viu a WebKit, així que toca gairebé tot el que és d’Apple. Segons els avisos, les versions vulnerables són les anteriors a:

  • Safari 26.2
  • iOS i iPadOS 18.7.3 i la sèrie 26.0–26.2
  • macOS 26.2 (inclòs macOS Tahoe 26.2)
  • tvOS, visionOS i watchOS anteriors a 26.2

Com que WebKit és obligatori per a qualsevol navegador a iOS/iPadOS, allà no te’n surts ni canviant a un navegador alternatiu.

Gravetat i explotació

El que torna urgent aquest cas no és només la nota CVSS. Hi ha confirmació d’explotació activa. Apple va reconèixer que el problema “pot haver estat explotat en un atac extremadament sofisticat contra individus específics” en versions d’iOS anteriors a iOS 26. Quan apareix aquest patró d’atacs dirigits i molt elaborats, el dit acostuma a assenyalar el programari espia comercial i les operacions de vigilància contra periodistes, activistes o gent d’alt perfil.

Per això CISA va incloure CVE-2025-43529 al seu catàleg de Vulnerabilitats Explotades Conegudes (KEV) i va fixar com a data límit de remediació el 5 de gener de 2026 per a les agències federals nord-americanes. Aquell termini només obliga aquestes agències, però el senyal val per a tothom: el defecte s’està fent servir al món real i s’ha de corregir com més aviat millor.

Mitigació i pegat

La mesura és directa: actualitzar a les versions corregides. Apple va repartir els pegats el desembre de 2025 amb la versió 26.2 dels seus sistemes operatius i amb l’actualització addicional iOS/iPadOS 18.7.3 per als dispositius que encara no han passat a iOS 26.

Passos recomanats:

  1. A iPhone/iPad, anar a Configuració › General › Actualització de programari i instal·lar la darrera versió disponible.
  2. Al Mac, obrir Configuració del Sistema › General › Actualització de programari.
  3. Comprovar que Safari i la resta d’apps que fan servir WebKit estiguin al dia.
  4. En entorns gestionats, donar prioritat al desplegament mitjançant MDM i verificar el compliment.

Cap mitigació fiable substitueix el pegat. Com que n’hi ha prou amb visitar contingut web maliciós per caure-hi, actualitzar és l’única protecció sòlida. Si gestiones equips macOS juntament amb altres sistemes, et convé repassar també les pràctiques d’enduriment del sistema operatiu a la nostra guia /ca/articles/selinux-y-apparmor.

Més informació sobre la versió del sistema a la fitxa de macOS.

Font

Sistemes relacionats

macOS