وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تصدر تحذيراً عاجلاً بشأن ثغرة أمنية خطيرة من نوع “يوم الصفر” في محرك ويب كيت التابع لشركة آبل، والتي يتم استغلالها حالياً بشكل نشط في الهجمات السيبرانية. تم تحديد الثغرة تحت الرمز CVE-2025-43529 وأضيفت إلى كتالوج الثغرات المعروفة المستغلة لدى CISA، مع تحديد موعد نهائي في 5 يناير 2026، يتعين على الوكالات الفيدرالية بحلوله تطبيق التصحيحات اللازمة.
استجابت آبل بإصدار تحديثات أمنية طارئة في 12 ديسمبر لمعالجة ثغرتين في ويب كيت، تهدف هذه التحديثات إلى الحماية من الهجمات المتطورة التي تستهدف أفراداً محددين يستخدمون إصدارات iOS قبل الإصدار 26. تتعلق الثغرة بمشكلة “استخدام بعد التحرير” في إدارة ذاكرة ويب كيت، مما يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية عبر محتوى ويب ضار دون تفاعل المستخدم. تؤثر هذه الثغرة على عدة منصات من آبل، بما في ذلك iOS وiPadOS وmacOS وغيرها التي تستخدم ويب كيت في عرض HTML.
في جهد منسق، قامت جوجل أيضاً بتصحيح ثغرة ذات صلة في متصفح كروم تحت الرمز CVE-2025-14174. تم اكتشاف الثغرة بشكل مشترك من قبل مجموعة تحليل التهديدات لدى جوجل وفريق هندسة الأمن والعمارة في آبل.
ويب كيت، المحرك وراء متصفح سفاري، يعد عنصراً أساسياً في تصفح الويب عبر نظام آبل، مما يؤثر على أجهزة مثل آيفون وآيباد وماك وساعات آبل وتلفزيونات آبل وأجهزة visionOS. التطبيقات الخارجية التي تستخدم ويب كيت في عرض HTML معرضة أيضاً للخطر.
طرحت آبل تصحيحات عبر تحديثات لإصدارات iOS 26.2 وiPadOS 26.2 وiOS 18.7.3 وiPadOS 18.7.3 وmacOS Tahoe 26.2 وtvOS 26.2 وwatchOS 26.2 وvisionOS 26.2 وسفاري 26.2، مؤكدة معالجة الثغرات.
يحذر خبراء الأمن من أن ثغرات “يوم الصفر” تشكل مخاطر كبيرة، وغالباً ما ترتبط بمجموعات مدعومة من الدولة أو أدوات مراقبة تجارية. بمجرد تحويلها إلى أسلحة، يمكن أن تنتشر هذه الثغرات بسرعة بين الجهات الفاعلة في التهديد بمجرد توفر التفاصيل الفنية.
يوجب توجيه العمليات التشغيلية الملزم CISA 22-01 على الوكالات الفيدرالية والمقاولين تصحيح الثغرات المعروفة المستغلة ضمن أطر زمنية محددة، مع تحديد 5 يناير كموعد نهائي خاص بالثغرة CVE-2025-43529. تُحث جميع المنظمات على معالجة هذه المخاطر الفورية.
تنصح آبل المستخدمين بتحديث أجهزتهم فوراً عبر الإعدادات > عام > تحديث البرامج، وتوصي بالتحقق يدوياً من التحديثات بدلاً من الاعتماد فقط على التحديثات التلقائية في الأيام الأولى التالية لإصدار التصحيح.
