Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Mikołajki z sekurakiem! od 2 do 8 grudnia!
Luki bezpieczeństwa w Safari WebKit od Apple. Wykrył je agent AI od Googla
Google DeepMind we współpracy z Project Zero zaprojektował zaawansowanego agenta AI – Big Sleep wcielającego się w rolę badacza bezpieczeństwa. Jego głównym zadaniem jest aktywne poszukiwanie podatności zanim zostaną wykorzystane przez atakujących. Zasłynął w listopadzie 2024 r., kiedy to udało mu się wykryć podatność klasy 0-day w silniku bazodanowym SQLite.
TLDR:
- Big Sleep – agent AI opracowany przez Google i Project Zero wykrył pięć podatności w silniku WebKit w przeglądarce Safari.
- Dwie z nich zostało ocenionych jako high i dotyczą nieprawidłowego zarządzania pamięcią.
- Pozostałe trzy oznaczone jako medium mogą spowodować nieoczekiwane zamknięcie przeglądarki (crash),
- Na podatne wersje oprogramowania zostały opublikowane poprawki bezpieczeństwa.
- Wykryte luki bezpieczeństwa nie zostały zaobserwowane podczas realnych ataków.
- Zalecamy aktualizację podatnych wersji oprogramowania.
Ponownie zrobiło się o nim głośno w sierpniu 2025 r., na skutek wykrycia krytycznej podatności związanej z nieprawidłowym wykorzystaniem pamięci dynamicznej (User-After-Free) w Chrome, o czym pisaliśmy jakiś czas temu. Podatność ta występuje w momencie, kiedy proces po zwolnieniu miejsca w pamięci, ponownie próbuje uzyskać do niego dostęp. Może to prowadzić do awarii aplikacji lub skutkować wykonaniem kodu umieszczonego przez atakującego.
Tym razem Big Sleep został wykorzystany do przeprowadzenia analizy bezpieczeństwa środowiska Apple, a mówiąc dokładniej silnika WebKit przeglądarki Safari. Efektem przeprowadzonych działań jest wykrycie 5 nowych podatności, ocenionych dosyć wysoko 2 podatności high oraz 3 medium, oznaczonych poniższymi identyfikatorami:
- CVE-2025-43429 [medium] – luka klasy buffer overflow, występuje podczas przetwarzania odpowiednio spreparowanych treści webowych. Brak kontroli nad rozmiarem danych, może doprowadzić do przepełnienia bufora, co w konsekwencji spowoduje zdalne wykonanie kodu lub awarie przeglądarki Safari.
- CVE-2025-43430 [medium] – podatność skutkująca nieoczekiwaną awarią procesu renderera (WebProcess) podczas przetwarzania złośliwie spreparowanych treści webowych. Przyczyną jest nieprawidłowe zarządzanie stanem aplikacji w trakcie obsługi danych, co skutkuje wyłączeniem przeglądarki. Mechanizm eksploatacji jest stosunkowo prosty, wystarczy wejść na odpowiednio przygotowaną stronę internetową, co prowadzi do utraty dostępu (Denial of Service) w trakcie sesji użytkownika.
- CVE-2025-43431 [high] i CVE-2025-43433 [high] – podatności typu memory corruption w przeglądarce Safari oraz w innych systemach Apple (iOS, watchOs, tvOS), spowodowane nieprawidłowym zarządzaniem pamięcią. Mogą prowadzić do uszkodzenia pamięci procesu, a co za tym idzie mogą skutkować wykonaniem złośliwego kodu.
- CVE-2025-43434 [medium] – podatność związana z nieprawidłowym zarządzaniem pamięcią (User-After-Free) w silniku WebKit. Podczas przetwarzania specjalnie spreparowanych treści, może wystąpić nieoczekiwany błąd skutkujący awarią przeglądarki.
Apple po otrzymaniu informacji o wykrytych błędach rozpoczął prace związane z wdrożeniem poprawek. Publiczna informacja o wykrytych podatnościach ukazała się po opracowaniu i wdrożeniu odpowiednich aktualizacji bezpieczeństwa.
Lista podatnych systemów wraz z numerem wersji oprogramowania zaprezentowano poniżej:
- iOS 26.1,
- iPadOS 26.1,
- macOS Tahoe 26.1,
- tvOS 26.1,
- visionOS 26.1,
- watchOS 26.1,
- Safari 26.1.
Żadna z wykrytych podatności nie została zaobserwowana w realnych atakach. Zalecamy instalację poprawek bezpieczeństwa i aktualizację urządzeń do najnowszej wersji.
Zapewne wielu z nas zastanawia się czy wykryte podatności zostaną nagrodzone w ramach programu Bug Bounty. Odpowiedź jest jednoznaczna: “Nie”. Programy Bug Bounty dotyczą badaczy bezpieczeństwa – ludzi, a co za tym idzie agenci AI nie mogą liczyć na nagrody finansowe. W tym momencie warto podkreślić, że Big Sleep pośrednio “otrzymał” uznanie od Apple. W biuletynie bezpieczeństwa zostało wprost napisane, kto zidentyfikował daną podatność, co ma znaczenie dla reputacji zespołu DeepMind i Project Zero.
Źródło: support.apple.com, thehackernews.com
Aktualizacja 16.11.2025 13:07
3 listopada 2025 roku Apple opublikował aktualizacje zabezpieczeń dla następujących systemów:
- iOS 26.1,
- iPadOS 26.1,
- macOS Tahoe 26.1,
- tvOS 26.1,
- visionOS 26.1,
- watchOS 26.1,
- Safari 26.1.
Równolegle wydał poprawki zabezpieczeń dla starszych wersji systemów: macOS Sequoia 15.7.2 oraz macOS Sonoma 14.8.2.
~_secmike
Ta, ten sam agent znalazł podatność w FFmpeg, w kodeku do jakiegoś egzotycznego formatu, którego prawie nikt nie używa, ale i tak Google wysłało “groźbę”, ze mają 90 dni na fixa, w przeciwnym razie opublikują lukę, a w przypadku opublikowania fixa, 30 dni po patchu upublicznią lukę.
Ta „groźba” to tzn. responsible disclosure, które jest standardową procedurą w przypadku odkrycia luk bezpieczeństwa. A błędy bezpieczeństwa, nawet w kodeku „którego prawie nikt nie używa”, powinny być poprawione (niezależnie od tego, czy znalazł je człowiek czy AI), aby osoby, które jednak używają nie były narażona na atak (oraz te, które nie używają, ale atakujący będzie potrafił sprawić, by skorzystały).
Mam pytanie według waszej informacji podatne systemy to IOS 26.1 a według linku do podatnych systemów jest napisane że w tej wersji systemu jest już naprawione.
Dziękuje, oczywiście w tej wersji systemy zostały załatane
Czy na pewno powinna być informacja: “Lista podatnych systemów”?