Apple har gitt ut nødsikkerhetsoppdateringer for å fikse to nulldagssårbarheter som angripere aktivt utnyttet i svært målrettede angrep.
Selskapet beskrev aktiviteten som et «ekstremt sofistikert angrep» rettet mot spesifikke individer. Selv om Apple ikke identifiserte angriperne eller ofrene, tyder det begrensede omfanget sterkt på spionprogramlignende operasjoner snarere enn utbredt nettkriminalitet.
Begge feilene påvirker WebKit, nettlesermotoren bak Safari og alle nettlesere på iOS. Som et resultat er risikoen betydelig. I noen tilfeller kan det å bare besøke en ondsinnet nettside være nok til å utløse et angrep.
Nedenfor bryter vi ned hva disse sårbarhetene betyr og forklarer hvordan du bedre kan beskytte deg selv.
Hva Apple sier om zero-day-sårbarhetene
De to sårbarhetene spores som CVE-2025-43529 og CVE-2025-14174, og Apple bekreftet at begge ble utnyttet i de samme virkelige angrepene.
I følge Apples sikkerhetsbulletin ble feilene misbrukt på versjoner av iOS utgitt før iOS 26, og angrepene var begrenset til «spesifikke målrettede individer».
CVE-2025-43529 er et WebKit-bruk-etter-fri-sårbarhet som kan føre til vilkårlig kodekjøring når en enhet behandler ondsinnet nettinnhold. For å si det enkelt lar det angripere kjøre sin egen kode på en enhet ved å lure nettleseren til å misbruke minnet.
Apple krediterte Googles Threat Analysis Group for å oppdage denne feilen, som ofte er en sterk indikator på nasjonalstatlig eller kommersiell spionprogramaktivitet.
Den andre feilen, CVE-2025-14174, er også et WebKit-problem, denne gangen involverer minnekorrupsjon
Mens Apple beskriver virkningen som minnekorrupsjon i stedet for direkte kjøring av kode, er disse typene feil ofte lenket sammen med andre sårbarheter for å kompromittere en enhet fullstendig.
Apple sier at dette problemet ble oppdaget i fellesskap av Apple og Googles Threat Analysis Group.
I begge tilfeller erkjente Apple at de var klar over rapporter som bekrefter aktiv utnyttelse i naturen.
Det språket er viktig fordi Apple vanligvis reserverer det for situasjoner der angrep allerede har skjedd, ikke bare teoretiske risikoer.
Selskapet sier at det løste feilene gjennom forbedret minneadministrasjon og bedre valideringssjekker, uten å dele dypere tekniske detaljer som kan hjelpe angripere å replikere utnyttelsene.
Berørte enheter og tegn på koordinert avsløring
Apple har gitt ut oppdateringer på tvers av sine støttede operativsystemer, inkludert de nyeste versjonene av iOS, iPadOS, macOS, Safari, watchOS, tvOS og visionOS.
I følge Apples råd inkluderer berørte enheter iPhone 11 og nyere modeller, flere generasjoner iPad Pro, iPad Air fra tredje generasjon og fremover, åttende generasjons iPad og nyere og iPad mini som starter med femte generasjon.
Dette dekker det store flertallet av iPhones og iPads som fortsatt er i aktiv bruk i dag.
Apple har lappet feilene på tvers av hele økosystemet. Rettelser er tilgjengelige i iOS 26.2 og iPadOS 26.2, iOS 18.7.3 og iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 og Safari 26.2. Fordi Apple krever at alle iOS-nettlesere bruker WebKit under panseret, påvirket det samme underliggende problemet også Chrome på iOS.
6 trinn du kan ta for å beskytte deg mot slike sårbarheter
Her er seks praktiske trinn du kan ta for å holde deg trygg, spesielt i lys av svært målrettede nulldagsangrep som dette.
1) Installer oppdateringer så snart de faller
Dette høres åpenbart ut, men det betyr mer enn noe annet. Zero-day angrep er avhengige av folk som kjører utdatert programvare.
Hvis Apple sender en nødoppdatering, installer den samme dag hvis du kan. Utsettelse av oppdateringer er ofte det eneste vindusangripere trenger. Hvis du har en tendens til å glemme oppdateringer, la enhetene håndtere dem for deg. Aktiver automatiske oppdateringer for iOS, iPadOS, macOS og Safari. På den måten er du beskyttet selv om du går glipp av nyhetene eller er på reise.
2) Vær forsiktig med lenker, selv fra folk du kjenner
De fleste WebKit-utnyttelser starter med ondsinnet nettinnhold. Unngå å trykke på tilfeldige lenker sendt over SMS, WhatsApp, Telegram eller e-post med mindre du venter dem. Hvis noe føles dårlig, åpne siden senere ved å skrive inn adressen selv.
Den beste måten å beskytte deg mot ondsinnede koblinger som installerer skadelig programvare, potensielt tilgang til din private informasjon, er å ha antivirusprogramvare installert på alle enhetene dine.
Denne beskyttelsen kan også varsle deg om phishing-e-post og ransomware-svindel, og holde din personlige informasjon og digitale eiendeler trygge.
3) Bruk et nettleseroppsett i lockdown-stil
Hvis du er en journalist, en aktivist eller noen som arbeider med sensitiv informasjon, vurder å redusere angrepsoverflaten.
Bruk bare Safari, unngå unødvendige nettleserutvidelser og begrens hvor ofte du åpner koblinger i meldingsapper.
4) Slå på låsemodus hvis du føler deg i fare
Apples låsemodus er designet spesielt for målrettede angrep. Den begrenser visse nettteknologier, blokkerer de fleste meldingsvedlegg og begrenser angrepsvektorer som vanligvis brukes av spionprogrammer. Det er ikke for alle, men det finnes for situasjoner som dette.
5) Reduser dine eksponerte personopplysninger
Målrettede angrep starter ofte med profilering. Jo mer personlige data om deg som flyter rundt på nettet, jo lettere er det å velge deg som mål. Fjerning av data fra meglersider og strammere personverninnstillinger for sosiale medier kan redusere synligheten din.
Selv om ingen tjenester kan garantere fullstendig fjerning av dataene dine fra internett, er en datafjerningstjeneste virkelig et smart valg. De er ikke billige, og det er ikke personvernet ditt heller.
Disse tjenestene gjør alt arbeidet for deg ved å aktivt overvåke og systematisk slette din personlige informasjon fra hundrevis av nettsteder. Det er det som gir meg trygghet og har vist seg å være den mest effektive måten å slette dine personlige data fra internett.
Ved å begrense tilgjengelig informasjon reduserer du risikoen for at svindlere kryssreferanser data fra brudd med informasjon de kan finne på det mørke nettet, noe som gjør det vanskeligere for dem å målrette mot deg.
6) Vær oppmerksom på uvanlig oppførsel på enheten
Uventede krasj, overoppheting, plutselig batteritømming eller Safari-lukking av seg selv kan noen ganger være advarselstegn. Disse betyr ikke automatisk at enheten din er kompromittert. Men hvis noe føles konsekvent feil, er det et smart trekk å oppdatere umiddelbart og tilbakestille enheten.
Kurts viktigste takeaway
Apple har ikke delt detaljer om hvem som ble målrettet eller hvordan angrepene ble levert. Mønsteret passer imidlertid tett med tidligere spionprogramkampanjer som fokuserte på journalister, aktivister, politiske skikkelser og andre av interesse for overvåkingsoperatører.
Med disse oppdateringene har Apple nå fikset syv nulldagers sårbarheter som ble utnyttet i naturen i 2025 alene.
Det inkluderer feil som ble avslørt tidligere i år og en tilbakeportert reparasjon i september for eldre enheter.
