Apple ruller ut iOS 26.2 som fikser to utnyttede WebKit-sårbarheter (CVE-2025-43529, CVE-2025-14174). Oppdater nå for å beskytte iPhone, iPad og Safari.
© RusPhotoBank
Apple har sendt ut en nødoppdatering for iOS 26.2 som tetter to farlige sårbarheter allerede utnyttet i målrettede angrep. Selskapet opplyser at det dreier seg om svært sofistikerte innbrudd mot et avgrenset antall brukere og knyttet til spionprogramvare, ikke masseinnsamling av data eller økonomisk svindel.
Begge svakhetene ble funnet i WebKit – motoren som driver Safari og, på iPhone og iPad, alle nettlesere fra tredjeparter. I praksis kunne det holde å åpne et ondsinnet nettsted for å utløse et angrep. Ifølge Apple ble sårbarhetene, sporet som CVE-2025-43529 og CVE-2025-14174, brukt i samme angrepskjede.
Den første feilen ga mulighet for å kjøre vilkårlig kode på enheten på grunn av feilaktig minnehåndtering i WebKit. Den andre, identifisert i samarbeid med Googles Threat Analysis Group, berørte også nettlesermotorens indre mekanismer. Apple sier at begge er lukket ved å stramme inn minnehåndteringen og legge til ekstra kontroller, uten å gå i detaljer for ikke å gi angripere en bruksanvisning.
Oppdateringer er rullet ut på tvers av Apple-økosystemet, inkludert iOS og iPadOS, macOS, watchOS, tvOS, visionOS og Safari. Ettersom iOS krever at alle nettlesere bruker WebKit, omfattet eksponeringen også Chrome og andre alternativer på iPhone. At sårbarhetene lå nettopp her, viser hvor mye som står og faller med én komponent i Apples plattform.
Apple oppfordrer på nytt brukere til å installere oppdateringer uten å utsette det, og peker på at nulldagskampanjer som regel går etter enheter med utdatert programvare først. Selskapet viser også til Lockdown Mode for dem som kan være utsatt for målrettede angrep, og anbefaler å følge med på uvanlig oppførsel – som overoppheting, brått batteriforbruk eller at Safari feiler. Budskapet er tydelig: oppdater raskt og gi angriperne færre åpninger.