CVE-2025-43529 é uma falha de use-after-free no WebKit que permite execução remota de código via conteúdo web malicioso e está sendo explorada em ataques direcionados contra usuários de iOS, iPadOS e macOS.
A CISA adicionou a vulnerabilidade ao catálogo de falhas exploradas, exigindo que os órgãos federais corrijam sistemas que usam WebKit até 5 de janeiro de 2026 sob o BOD 22-01, e recomenda que todas as organizações apliquem as atualizações da Apple imediatamente.
O que é o CVE-2025-43529
CVE-2025-43529 é um bug de use-after-free (CWE-416) no motor WebKit, responsável por processar HTML e outros conteúdos web no Safari e em todos os aplicativos que embutem WebKit.
Ao analisar páginas especialmente criadas, o WebKit acessa memória já liberada, o que pode levar à corrupção de memória e permitir que o código arbitrário seja executado com os exclusivos do processo alvo.
A Apple informa que o simples processamento de conteúdo web malicioso pode disparar a falha, tornando o vetor essencialmente “drive‑by” (visitar uma página já basta).
O bug foi relatado pelo Google Threat Analysis Group, que examinou o uso de falhas em ataques extremamente sofisticados contra indivíduos específicos em versões de iOS anteriores ao iOS 26.
Produtos e versões afetadas
A vulnerabilidade afeta vários sistemas Apple que dependem do WebKit, incluindo iOS, iPadOS, macOS, tvOS, watchOS, visionOS, Safari e aplicativos de terceiros que utilizam o WebKit como motor de renderização.
Na prática, isso aumenta o risco para qualquer aplicativo em iPhone ou iPad que abra conteúdo web via WebView (navegadores de terceiros, aplicativos corporativos, clientes de e‑mail, mensagens, etc.).
Atualizações emergenciais para correção CVE-2025-43529 foram liberadas em iOS 26.2, iPadOS 26.2, novas versões de macOS Sonoma/Sequoia e Safari 26.2, com a correção aplicada por meio de melhorias no gerenciamento de memória do WebKit.
Apple e parceiros também estão relacionados à falha nas cadeias de ataque de spyware mercenário, embora detalhes sobre famílias específicas e vítimas não tenham sido divulgados.
Posição da CISA e prazos
A CISA incluiu CVE-2025-43529 no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), classificando o bug como explorado em campo.
Dentro da Diretiva Operacional Vinculativa BOD 22‑01, os órgãos civis federais dos EUA precisam aplicar as atualizações ou mitigações aprovadas até 5 de janeiro de 2026.
A agência enfatiza que as organizações privadas devem ter a mesma urgência, especialmente em ambientes onde dispositivos Apple são usados para acesso a dados sensíveis ou como endpoints corporativos críticos.
Em ambientes de nuvem e MDM, a recomendação é seguir a orientação específica de cada fornecedor, garantir que os perfis de atualização forcem a instalação das versões corrigidas e apliquem controles compensatórios enquanto a implementação não estiver completa.
Recomendações para usuários e empresas
Para usuários finais, a principal medida é habilitar e manter atualizados as atualizações automáticas em iPhones, iPads e Macs, garantindo a instalação de iOS/iPadOS 26.2, macOS e Safari atualizados o quanto antes.
Também é prudente evitar, até o patch, clicar em links de origem desconhecida e usar apenas navegadores e aplicativos já atualizados com as correções.
As organizações devem inventariar todos os dispositivos e aplicações que utilizam WebKit (incluindo aplicativos internos com WebView) e priorizar o patching conforme criticidade do ativo e exposição à internet.
Onde a atualização imediata não é viável, recomenda-se restringir a navegação em sites de confiança, aplicar filtragem de conteúdo em proxies/gateways da web seguros e monitorar anomalias no tráfego HTTPS originado de dispositivos Apple.
Pesquisadores seguem analisando a amplitude da exploração e possíveis encadeamentos com outras falhas, enquanto a Apple deve publicar boletins adicionais com detalhes de versões específicas e indicadores de comprometimento; as empresas devem acompanhar tanto o portal de segurança da Apple quanto os alertas da CISA para novos desdobramentos.
