CVE-2025-43529
CVE-2025-43529
Vexday Risk Score
71Prioridade alta
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 8.8EPSS 8.4%KEV simPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
15 dez 2025Exploração ativa (CISA KEV)
17 dez 2025Publicada no NVD
05 jan 2026PoC pública
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Uma falha de gerenciamento de memória no Safari e sistemas operacionais Apple permite que atacantes executem código arbitrário ao processar conteúdo web malicioso. Essa vulnerabilidade tem sido explorada ativamente em ataques direcionados contra indivíduos específicos.
Detalhe técnico
Vulnerabilidade use-after-free (CWE-416) no mecanismo de renderização WebKit afeta Safari e múltiplas plataformas de SO da Apple. O vetor de ataque é baseado em rede através de conteúdo web maliciosamente criado; nenhuma autenticação de usuário é necessária além de visitar uma página comprometida. A exploração bem-sucedida concede execução arbitrária de código no contexto da aplicação afetada, com evidências de exploração real em campanhas sofisticadas direcionadas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A use-after-free issue was addressed with improved memory management. This issue is fixed in Safari 26.2, iOS 18.7.3 and iPadOS 18.7.3, iOS 26.2 and iPadOS 26.2, macOS Tahoe 26.2, tvOS 26.2, visionOS 26.2, watchOS 26.2. Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals on versions of iOS before iOS 26. CVE-2025-14174 was also issued in response to this report.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.