A Apple e o Google publicaram patches de emergência após terem sido detectadas vulnerabilidades zero-day sendo exploradas em ataques reais, que as empresas descreveram como “sofisticados”. A Apple corrigiu duas vulnerabilidades zero-day exploradas em um “ataque extremamente sofisticado” que, considerando o contexto, poderia ter sido um ataque de ciberespionagem contra uma ou várias pessoas de alto perfil. Em um novo aviso de segurança, a Apple informado ter implementado uma correção para uma vulnerabilidade de execução remota de código (RCE) do tipo “use-after-free” no WebKit, bem como uma falha de corrupção de memória no WebKit. A falha é registrada como CVE-2025-43529 e tem um CVSS de 9.8.
O WebKit é o mecanismo de navegador da Apple responsável pela renderização de páginas da web. Ele alimenta o Safari no macOS, iOS e iPadOS, e é usado por todos os navegadores no iPhone e iPad.
O Google publicou uma atualização para o Chrome Estável na quarta-feira da semana passada. corrigindo diversas falhas de segurança, incluindo pelo menos uma vulnerabilidade zero-day que já havia sido explorada. A falha de alto risco, registrada como CVE-2025-14174 (CVSS ainda não publicada), foi descrita como uma vulnerabilidade de acesso à memória fora dos limites, e o Google descobriu estar ciente de uma exploração em andamento.
Nenhuma das empresas divulgou muitos detalhes técnicos, mas o Google atribuiu a descoberta da vulnerabilidade CVE-2025-14174 à equipe de engenharia de segurança da Apple e ao Grupo de Análise de Ameaças do Google – uma unidade mais conhecida para rastrear fornecedores de spyware mercenários e campanhas de intrusão patrocinadas por governos do que para combater malware criado por crimes comuns. Essa atribuição sugere que os ataques foram em nível de spyware, e não de hackers oportunistas.
