W świecie cyberbezpieczeństwa są dwa typy aktualizacji. Te „na spokojnie”, które możesz odłożyć na weekend, i te, które wchodzą w tryb natychmiastowy, bo ktoś już próbuje wykorzystać lukę w realnych atakach. Właśnie z tym drugim przypadkiem mamy do czynienia: jednocześnie pojawiły się pilne poprawki dla przeglądarki Chrome oraz dla wielu urządzeń Apple, od iPhone’a po Maca.
Wspólny mianownik jest prosty: mowa o „zero-day”, czyli podatnościach użytych przez atakujących zanim łatka była powszechnie dostępna. Dla zwykłego użytkownika brzmi to abstrakcyjnie, ale konsekwencje są bardzo konkretne, bo takie luki często pozwalają przejąć kontrolę nad urządzeniem przez złośliwą stronę albo spreparowane treści.
Co tak naprawdę się wydarzyło?
Po stronie Google pojawiła się aktualizacja Chrome, w której firma wprost przyznaje, że zna przypadki aktywnego wykorzystania luki w środowisku „in the wild”. W tym samym komunikacie doprecyzowano, że podatność została znaleziona wspólnie przez zespół bezpieczeństwa Apple oraz Google Threat Analysis Group, czyli grupę, która zwykle patrzy na bardziej „poważne” kampanie i ukierunkowane operacje.
Równolegle Apple rozesłało zestaw poprawek na wiele platform jednocześnie. I tu kluczowy jest styl komunikatu, który pojawia się tylko wtedy, gdy sytuacja jest gorąca: firma informuje, że luki mogły być użyte w „ekstremalnie zaawansowanym” ataku przeciwko konkretnym, wybranym osobom korzystającym z wersji systemu sprzed iOS 26.
To ważny sygnał, bo w praktyce oznacza, że nie mówimy o losowym „szumie w internecie”, tylko o czymś, co zostało zauważone w realnym użyciu. A skoro zauważone, to teraz priorytetem jest skrócenie okna czasowego, w którym ktoś może spróbować powtórzyć atak u większej liczby osób.
Google: pilna łatka dla Chrome i luka CVE-2025-14174
W Chrome poprawka dotyczy podatności CVE-2025-14174 opisanej jako out-of-bounds memory access w ANGLE. ANGLE to warstwa, która pomaga przeglądarce obsługiwać grafikę, między innymi treści webowe wykorzystujące akcelerację. Tego typu błędy lubią być wdzięcznym punktem wejścia, bo dotyczą pamięci i potrafią otwierać drzwi do poważniejszych scenariuszy.
Z perspektywy użytkownika liczy się przede wszystkim to, że stabilny kanał Chrome został podniesiony do wersji 143.0.7499.109/.110 na Windows i macOS oraz 143.0.7499.109 na Linux, a Google wprost zaznacza, że exploit istnieje „w naturze”. Innymi słowy: aktualizacja nie jest kosmetyczna, tylko ochronna.
Jeśli ktoś ma włączone automatyczne aktualizacje, Chrome zwykle sam dociąga łatkę, ale praktyka bywa różna, bo przeglądarka potrafi „czekać” na restart. Warto więc wejść w menu pomocy i sprawdzić wersję, a potem po prostu przeglądarkę uruchomić ponownie, żeby nowy build faktycznie zaczął działać.
Apple: dwa problemy w WebKit i aktualizacje na wielu urządzeniach naraz
Apple zareagowało szeroko, bo aktualizacje trafiły jednocześnie na nowe systemy (iOS i iPadOS 26.2) oraz na gałąź dla osób, które jeszcze nie przeszły na iOS 26 (iOS i iPadOS 18.7.3). Do tego dochodzą poprawki dla macOS w kilku liniach oraz pozostałych platform Apple.
Sedno komunikatu Apple dotyczy WebKit, czyli silnika odpowiedzialnego za przetwarzanie treści webowych. W dokumentacji wprost wskazano dwie podatności, które mogły zostać użyte w „ekstremalnie zaawansowanym” ataku przeciwko konkretnym osobom na wersjach iOS sprzed iOS 26. Pierwsza to CVE-2025-43531, opisana jako problem mogący prowadzić do wykonania kodu, druga to CVE-2025-43529, związana z uszkodzeniem pamięci.
Co ciekawe, w tym samym zestawie pojawia się też wątek CVE-2025-14174, czyli identyfikatora, który przewija się w świecie Chrome. Tego nie należy czytać jako „to na pewno identyczna luka w identycznym miejscu”, ale jako mocną podpowiedź, że mamy do czynienia z kampanią, w której różne elementy stosu webowego i graficznego mogły się zazębiać, a zespoły bezpieczeństwa po obu stronach patrzyły na podobny trop.
Co zrobić teraz, żeby nie zostać w tyle?
Najprostsza zasada brzmi: aktualizujesz nie tylko system, ale też przeglądarkę. W praktyce oznacza to sprawdzenie aktualizacji iOS lub iPadOS w Ustawieniach, a na Macu w Ustawieniach systemowych. W przypadku urządzeń Apple ważne jest też to, że „łatki bezpieczeństwa” bywają rozlane po kilku produktach, więc jeśli masz iPhone’a i Maca, warto zamknąć temat na obu, nie tylko na jednym.
W Chrome najlepiej wejść w „O Google Chrome”, poczekać aż aktualizacja się dociągnie i wykonać restart przeglądarki. Brzmi banalnie, ale w tego typu sytuacjach właśnie restart robi różnicę między „mam pobrane” a „mam aktywne”.
Jeśli pracujesz w mediach, aktywizmie, polityce, albo po prostu wiesz, że bywasz „cennym celem”, to jest ten moment, w którym warto traktować aktualizacje jako element higieny, a nie opcję. Takie ataki z definicji nie polują na tłum, tylko na konkretne osoby, więc najlepszą obroną jest skracanie czasu reakcji do minimum.
Zmęczenie aktualizacjami jest realne, ale to właśnie na nie liczą atakujący
Jest w tym wszystkim coś przewrotnego. Ludzie są coraz bardziej „zmęczeni” komunikatami o aktualizacjach, bo tych poprawek jest dużo, a większość niczego widocznego nie zmienia. I dokładnie na ten moment znużenia liczą atakujący, bo zero-day najlepiej działa wtedy, gdy użytkownik stwierdza „zrobię jutro”.
Druga rzecz to rosnąca rola przeglądarki jako najbardziej atakowanego kawałka oprogramowania. Nawet jeśli masz świetnie zabezpieczony system, to web jest dziś uniwersalnym nośnikiem treści, reklam, skryptów, multimediów i całej tej „ruchomej” infrastruktury. Łatka dla Chrome i reakcja Apple na problemy w WebKit pokazują, że to właśnie webowy front jest najbardziej newralgiczny.
I jeszcze jedno. Kiedy widzisz sformułowania o „ekstremalnie zaawansowanych atakach” i „konkretnych, wybranych osobach”, to nie jest PR-owy dramatyzm. To sygnał, że ktoś już sprawdził to w praktyce. A to jest dokładnie ten typ sytuacji, w której aktualizacja jest najtańszą formą spokoju.
