CISA alerta: zero‑day no WebKit (CVE-2025-43529) em exploração ativa

A CISA emitiu alerta sobre CVE-2025-43529, um use‑after‑free no WebKit em exploração ativa que afeta iOS, iPadOS, macOS e apps que usam WebKit. A agência definiu prazo de conformidade para 05/01/2026 e recomenda aplicar patches da Apple imediatamente, inventariar sistemas afetados e usar filtragem de conteúdo quando o patch não for possível.

Introdução

A agência americana CISA emitiu um alerta sobre um zero‑day crítico no mecanismo de renderização WebKit (CVE-2025-43529) que está sendo explorado ativamente. A falha foi classificada como use‑after‑free no parser HTML do WebKit e afeta iOS, iPadOS, macOS, Safari e aplicações que usam WebKit como motor de HTML.

Descoberta e escopo / O que mudou agora

O problema reside na gestão de memória do WebKit, onde conteúdo web malicioso pode disparar corrupção de memória. Segundo o relatório reproduzido pela Cyber Security News, a exploração pode ocorrer apenas visitando páginas especialmente criadas, sem necessidade de interação adicional do usuário, aumentando o risco de compromisso silencioso.

Vetor e exploração / Mitigações

A CISA adicionou o CVE-2025-43529 ao seu catálogo de vulnerabilidades conhecidas em exploração ativa e estabeleceu um prazo de conformidade para agências federais e contratadas: 5 de janeiro de 2026, no âmbito de diretrizes operacionais vinculantes. A agência recomenda aplicar atualizações de segurança da Apple assim que estiverem disponíveis e habilitar atualizações automáticas onde possível.

Outras medidas citadas pelo comunicado incluem:

Inventariar sistemas que utilizam navegadores e aplicações baseadas em WebKit;
Priorizar aplicação de patches nas plataformas afetadas;
Quando não for possível aplicar patch imediatamente, considerar restrição de navegação a sites confiáveis ou filtragem de conteúdo malicioso em rede;
Monitorar alertas da CISA e comunicados oficiais da Apple para orientação sobre versões corrigidas e instruções de remediação.

Impacto e alcance / Setores afetados

Como WebKit é integrado não apenas ao Safari, mas também a diversas aplicações de terceiros que usam o motor para renderizar HTML, a superfície de ataque é ampla. Dispositivos móveis e desktops da Apple em ambientes corporativos e pessoais podem ser afetados, bem como aplicações empresariais que dependem de WebKit internamente.

Limites das informações / O que falta saber

Informações técnicas detalhadas sobre vetores de exploit, amostras e versões específicas ainda dependem de comunicados adicionais da Apple e de pesquisas em andamento. O comunicado orienta que pesquisadores continuam investigando o escopo completo e que a Apple divulgará detalhes das versões corrigidas em seus advisories oficiais.

Repercussão / Próximos passos / LGPD

Organizações devem priorizar a correção imediata conforme disponibilidade de patches e considerações contratuais/regulatórias quanto ao prazo determinado pela CISA. No contexto de proteção de dados, a exploração em ambientes com informações pessoais pode requerer avaliação de impacto e medidas de notificação se houver indícios de acesso a dados sensíveis; a decisão sobre necessidade de comunicação deve seguir políticas legais e regulatórias aplicáveis em cada jurisdição.

Fonte: Cyber Security News (replicando alerta da CISA sobre CVE-2025-43529).