[TLP:CLEAR] WebKitGTK a WPE WebKit opravují 7 zranitelností
WebKitGTK a WPE WebKit verzí 2.50.4 opravují 7 zranitelností. Vybrané nejzávažnější z nich jsou popsány níže, zbylé naleznete na [1][2]. Apple produkty a jejich opravené verze: iOS - 26.2 [3], 18.7.3 [4] iPadOS - 26.2 [3], 18.7.3 [4] macOS - Tahoe 26.2 [5], Sonoma 14.8.3 [6], Sequoia 15.7.3 [7] tvOS - 26.2 [8] watchOS - 26.2 [9] visionOS - 26.2 [10] Safari - 26.2 [11]
Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství umožněno spustit libovolný kód [12]. Zranitelnost je již aktivně zneužívána v sofistikovaných útocích proti konkrétním cílům využívajících systémy iOS ve verzi nižší než 26 [12][13].
Zranitelnost se nachází v produktech:
- WebKitGTK ve verzích <2.50.4
- WebKitGTK ve verzích <2.50.4
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-43529 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 12. 2025.
Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství umožněno poškodit data v paměti [1][2]. Zranitelnost (původně objevena v ANGLE Google Chrome na systémech macOS [14]) je již aktivně zneužívána [15].
Zranitelnost se nachází v produktech:
- WebKitGTK ve verzích <2.50.4
- WebKitGTK ve verzích <2.50.4
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L
Více informací:
- CVE-2025-14174 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 12. 2024.
Neautentizovanému vzdálenému útočníkovi je umožněno neoprávněně způsobit pád procesu [16].
Zranitelnost se nachází v produktech:
- WebKitGTK ve verzích <2.50.4
- WebKitGTK ve verzích <2.50.4
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Více informací:
- CVE-2025-43501 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 12. 2025.
Odkazy
- [1] https://webkitgtk.org/security/WSA-2025-0010.html
- [2] https://wpewebkit.org/security/WSA-2025-0010.html
- [3] https://support.apple.com/en-us/125884
- [4] https://support.apple.com/en-us/125885
- [5] https://support.apple.com/en-us/125886
- [6] https://support.apple.com/en-us/125888
- [7] https://support.apple.com/en-us/125887
- [8] https://support.apple.com/en-us/125889
- [9] https://support.apple.com/en-us/125890
- [10] https://support.apple.com/en-us/125891
- [11] https://support.apple.com/en-us/125892
- [12] https://nvd.nist.gov/vuln/detail/CVE-2025-43529
- [13] https://www.cisa.gov/news-events/alerts/2025/12/15/cisa-adds-two-known-exploited-vulnerabilities-catalog
- [14] https://www.cve.org/CVERecord?id=CVE-2025-14174
- [15] https://www.cisa.gov/news-events/alerts/2025/12/12/cisa-adds-one-known-exploited-vulnerability-catalog-0
- [16] https://nvd.nist.gov/vuln/detail/CVE-2025-43501
Za CESNET-CERTS Michaela Ručková dne 2. 1. 2026.
