Danny Weber
13:21 29-12-2025
© RusPhotoBank
Apple brengt iOS 26.2 uit met een spoedpatch die twee actief misbruikte WebKit zero-days verhelpt. Update nu op iPhone en iPad; ook Safari was kwetsbaar.
Apple heeft een spoedupdate voor iOS 26.2 uitgebracht en daarmee twee gevaarlijke kwetsbaarheden gedicht die al in gerichte aanvallen in de praktijk zijn misbruikt. Het bedrijf stelt dat het ging om zeer geavanceerde inbraken, gericht op een beperkte groep gebruikers en gelinkt aan spyware, niet aan massale data- of financiële diefstal.
Beide zwakheden zaten in WebKit, de engine achter Safari en — op iPhone en iPad — elke browser van derden. In de praktijk kon het openen van een kwaadwillende website al voldoende zijn om een aanval te starten. De fouten, geregistreerd als CVE-2025-43529 en CVE-2025-14174, waren volgens Apple onderdeel van dezelfde aanvalsketen.
De eerste bug maakte willekeurige code-uitvoering op een toestel mogelijk door onjuiste geheugenafhandeling in WebKit. De tweede, geïdentificeerd in samenwerking met Google’s Threat Analysis Group, raakte eveneens aan het binnenwerk van de browsermotor. Apple zegt beide te hebben verholpen met strenger geheugenbeheer en extra controles, terwijl details bewust worden achtergehouden om aanvallers geen routekaart te geven.
De patches zijn breed uitgerold, waaronder voor iOS en iPadOS, macOS, watchOS, tvOS, visionOS en Safari. Omdat iOS vereist dat alle browsers WebKit gebruiken, gold de blootstelling ook voor Chrome en andere alternatieven op de iPhone. In de praktijk betekende dat dat niet alleen Safari kwetsbaar was.
Apple dringt er opnieuw op aan updates zonder uitstel te installeren, met de kanttekening dat zero-daycampagnes doorgaans eerst jagen op apparaten met verouderde software. Voor wie mogelijk doelwit is, wijst het bedrijf op Lockdown Mode en adviseert het te letten op opvallend gedrag — oververhitting, plotselinge batterijleegloop of haperingen in Safari. De strekking is duidelijk: werk snel bij en laat aanvallers zo weinig mogelijk openingen.