{"id":8740,"date":"2025-12-30T20:45:23","date_gmt":"2025-12-30T19:45:23","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8740"},"modified":"2025-12-30T20:45:23","modified_gmt":"2025-12-30T19:45:23","slug":"kriticna-webkit-ranjivost","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/12\/30\/kriticna-webkit-ranjivost\/","title":{"rendered":"Kriti\u010dna WebKit ranjivost omogu\u0107ava daljinsko izvr\u0161avanje k\u00f4da"},"content":{"rendered":"<p><em>WebKit<\/em> ranjivost <a href=\"https:\/\/github.com\/JGoyd\/0day-GigaCage-Webkit\/blob\/main\/VULNERABILITY_REPORT.md\" target=\"_blank\" rel=\"noopener\">otkrio<\/a> je sigurnosni istra\u017eiva\u010d <em>Joseph<\/em> <em>Goydish<\/em>, identifikuju\u0107i kriti\u010dan propust u <em>Apple<\/em> <em>WebKit<\/em> mehanizmu. Ova ranjivost posebno poga\u0111a internet pregleda\u010de tre\u0107ih strana na <em>iOS<\/em> <em>26.2<\/em>, pa samim tim nagla\u0161ava va\u017enost bezbjednosnih mjera. Posljedice ovakve ranjivosti mogu biti ozbiljne, jer otvaraju mogu\u0107nost ugro\u017eavanja podataka korisnika i naru\u0161avanja stabilnosti sistema.<\/p>\n<div id=\"attachment_8741\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8741\" class=\"size-full wp-image-8741\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Critical-WebKit-Vulnerability.jpg\" alt=\"WebKit\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Critical-WebKit-Vulnerability.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Critical-WebKit-Vulnerability-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Critical-WebKit-Vulnerability-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Critical-WebKit-Vulnerability-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Critical-WebKit-Vulnerability-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Critical-WebKit-Vulnerability-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Critical-WebKit-Vulnerability-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8741\" class=\"wp-caption-text\"><em>Kriti\u010dna WebKit ranjivost omogu\u0107ava daljinsko izvr\u0161avanje k\u00f4da; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/30\/kriticna-webkit-ranjivost\/#WEBKIT_RANJIVOST\">WEBKIT RANJIVOST<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/30\/kriticna-webkit-ranjivost\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/30\/kriticna-webkit-ranjivost\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/30\/kriticna-webkit-ranjivost\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"WEBKIT_RANJIVOST\"><\/span><strong><em>WEBKIT<\/em> RANJIVOST<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Otkri\u0107e kriti\u010dne ranjivosti u <em>Apple<\/em> <em>WebKit<\/em> mehanizmu ukazuje na ozbiljnu gre\u0161ku prekora\u010denja cijelih brojeva u <em>iOS 26.2<\/em>. Ona mo\u017ee da omogu\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da sru\u0161e internet pregleda\u010d ili izvr\u0161avaju proizvoljni k\u00f4d na najnovijim <em>iOS<\/em> ure\u0111ajima, naro\u010dito ako se iskoristi zajedno sa drugim propustima.<\/p>\n<p>Prekora\u010denja cijelih brojeva predstavljaju klasi\u010dne programske gre\u0161ke koje, ukoliko se ne otklone, mogu izazvati dalekose\u017ene posljedice. U ovom slu\u010daju problem nastaje prilikom izra\u010dunavanja ograni\u010denja memorije za <em>ArrayBuffer<\/em>, <em>TypedArray<\/em> i <em>WebAssembly<\/em> operacije unutar <em>JavaScriptCore<\/em> (<em>JSC<\/em>) mehanizma.<\/p>\n<p><em>JSC<\/em> mehanizam je klju\u010dna komponenta <em>Safari<\/em> internet pregleda\u010da, kao i svih internet pregleda\u010da tre\u0107ih strana na <em>iOS<\/em> operativnom sistemu. Upravo zbog toga on postaje privla\u010dna meta za zlonamjerne aktere koji nastoje da iskoriste ranjivosti na ovim platformama.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Ranjivost <em>Apple WebKit<\/em> mehanizma poti\u010de iz klasi\u010dne softverske gre\u0161ke koja nastaje kada sistem poku\u0161a da sa\u010duva podatke u memorijskom me\u0111uspremniku (eng. <em>buffer<\/em>) koji prelazi njegov kapacitet, pa se sadr\u017eaj \u201c<em>preliva\u201d<\/em> u susjedne oblasti.<\/p>\n<p>U <em>WebKit<\/em> mehanizmu problem se javlja mno\u017eenjem indeksa veli\u010dinom elementa tokom raspodjele memorije. Kada rezultat dostigne ili prevazi\u0111e 32-bitnu granicu (oko 4 GB), sistem omogu\u0107ava zlonamjernim akterima da zahtijevaju memorijsku adresu koja prolazi po\u010detne provjere, ali ukazuje na lokacije izvan bezbjedne zone.<\/p>\n<p>Takva situacija aktivira <em>Gigacage<\/em>, mehanizam za bezbjednosno razdvajanje koji prekida <em>WebContent<\/em> proces \u010dim otkrije poku\u0161aj prekora\u010denja, \u010dime se spre\u010dava dalja \u0161teta ili neovla\u0161teni pristup. Ipak, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010d<\/a> je primijetio da <em>Gigacage<\/em> ima ograni\u010denja kada se suo\u010di sa odlu\u010dnim zlonamjernim akterima. Ako se ranjivost iskoristi, dolazi do korupcije memorije, \u0161to omogu\u0107ava manipulaciju objektima smje\u0161tenim uz preplavljeni me\u0111uspremnik.<\/p>\n<p>U ekstremnim slu\u010dajevima, takvo iskori\u0161tavanje mo\u017ee dovesti do daljinskog izvr\u0161avanja k\u00f4da (eng. <em>remote code execution \u2013 RCE<\/em>) kori\u0161tenjem tehnike \u201c<em>Vtable hijacking<\/em>\u201d, gdje zlonamjerni akteri o\u0161te\u0107uju pokaziva\u010de virtuelnih funkcija kako bi preuzeli kontrolu nad pokaziva\u010dem instrukcija ure\u0111aja. Ovaj scenario nagla\u0161ava potrebu za stalnom budno\u0161\u0107u i proaktivnim mjerama za\u0161tite od novih prijetnji.<\/p>\n<p>Izvje\u0161taj ukazuje da ranjivost poga\u0111a ne samo <em>iOS<\/em> ure\u0111aje ve\u0107 i <em>macOS<\/em> sisteme koji rade na <em>Sequoia<\/em> (<em>macOS<\/em> verzija <em>15.x<\/em>). Po\u0161to svi internet pregleda\u010di tre\u0107ih strana moraju koristiti <em>WKWebView<\/em> mehanizam, i oni su podlo\u017eni iskori\u0161tavanju.<\/p>\n<p>Potvrda gre\u0161ke u <em>iOS 26.2<\/em> (<em>Build<\/em> <em>23C55<\/em>) na <em>iPhone 14 Pro Max<\/em> predstavlja opipljiv dokaz njenog postojanja i potencijalnog uticaja. Dodatnu ozbiljnost problema nagla\u0161ava \u010dinjenica da je sigurnosni istra\u017eiva\u010d uspio da demonstrira propust koriste\u0107i svega nekoliko redova <em>JavaScript<\/em> k\u00f4da.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Ranjivost u <em>WebKit<\/em> mehanizmu predstavlja ozbiljno naru\u0161avanje odnosa povjerenja izme\u0111u korisnika i digitalnih platformi na koje se oslanjaju. Kada se pojavi propust ovakvih razmjera, neposredna posljedica je poja\u010dan osje\u0107aj nesigurnosti u pogledu bezbjednosti svakodnevnih interakcija sa ure\u0111ajima. Korisnici koji zavise od pametnih telefona i ra\u010dunara za komunikaciju, bankarstvo i li\u010dno upravljanje suo\u010davaju se sa izgledom naru\u0161ene privatnosti i umanjenim povjerenjem u pouzdanost svojih sistema.<\/p>\n<p>Organizacije se suo\u010davaju sa druga\u010dijom, ali jednako ozbiljnom dimenzijom posljedica. Ranjivost potkopava stabilnost poslovnih tokova zasnovanih na aplikacijama koje koriste internet pregleda\u010d. Poslovna okru\u017eenja koja se oslanjaju na digitalne platforme radi produktivnosti, saradnje i odnosa sa klijentima izlo\u017eena su rizicima koji mogu ugroziti kontinuitet poslovanja. Osje\u0107aj krhkosti u \u0161iroko kori\u0161\u0107enim sistemima pretvara se u \u0161tetu po ugled za organizacije koje ne mogu da garantuju bezbjedno digitalno iskustvo.<\/p>\n<p>Ekonomske posljedice su zna\u010dajne. Kompanije mogu do\u017eivjeti prekide u pru\u017eanju usluga, \u0161to vodi ka gubitku prihoda i zategnutim odnosima sa klijentima. Za korisnike, potencijalno izlaganje osjetljivih podataka stvara finansijsku nelagodu, jer se li\u010dni podaci do\u017eivljavaju kao nesigurni. Ovaj dvostruki pritisak na pojedince i institucije dodatno poja\u010dava razornu snagu ranjivosti.<\/p>\n<p>Iznad finansijskih briga, ranjivost mijenja psiholo\u0161ki pejza\u017e digitalne interakcije. Korisnici po\u010dinju da dovode u pitanje integritet platformi koje su nekada smatrali pouzdanim. Ovo nagrizanje povjerenja prenosi se i na organizacije, koje se suo\u010davaju sa klijentima sve skepti\u010dnijim prema digitalnim uvjeravanjima. Nematerijalni tro\u0161ak umanjenog povjerenja mo\u017ee biti jednako \u0161tetan kao i direktan finansijski gubitak.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>WebKit<\/em> ranjivost pokazuje da se u samoj osnovi softverskog ekosistema mo\u017ee pojaviti gre\u0161ka koja, iako naizgled jednostavna, nosi dalekose\u017ene posljedice. Prekora\u010denje cijelih brojeva u prora\u010dunima memorije nije samo usamljen propust, ve\u0107 znak da i najdublji slojevi sistema mogu postati ta\u010dke nestabilnosti. Time se otvara pitanje pouzdanosti temelja na kojima po\u010diva arhitektura savremenih ure\u0111aja.<\/p>\n<p>Posebnu te\u017einu ovoj gre\u0161ci daje njena sveobuhvatnost: svi pregleda\u010di na <em>iOS<\/em> i <em>macOS<\/em> operativnim sistemima oslanjaju se na isti mehanizam. Propust se ne zadr\u017eava u jednom programu, ve\u0107 se \u0161iri kroz \u010ditav ekosistem. Jedinstveni tehni\u010dki oslonac, iako prakti\u010dan, istovremeno stvara jedinstvenu ta\u010dku slabosti.<\/p>\n<p>Pojava <em>WebKit<\/em> ranjivosti otkriva i granice postoje\u0107ih za\u0161titnih slojeva. <em>Gigacage<\/em>, zami\u0161ljen kao brana protiv zloupotreba memorije, pokazuje da odbrambeni mehanizmi mogu biti probijeni kada se suo\u010de sa odlu\u010dnim napada\u010dem. Sama prisutnost za\u0161tite ne zna\u010di potpunu otpornost, jer ranjivost ostaje sve dok osnovni uzrok nije uklonjen. Upravo zbog toga, dok ispravki jo\u0161 nije dostupna, preporu\u010duje se smanjenje oslanjanja na <em>Safari<\/em> i <em>WebKit<\/em>, pa\u017eljivo pra\u0107enje bezbjednosnih obavje\u0161tenja i kori\u0161tenje dodatnih slojeva za\u0161tite poput blokiranja reklama, <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\">virualnih privatnih mre\u017ea<\/a> (<em>VPN<\/em>) i drugih mjera koje mogu ubla\u017eiti rizik.<\/p>\n<p>Demonstracija iskori\u0161tavanja pomo\u0107u nekoliko redova k\u00f4da ukazuje na nesrazmjer izme\u0111u slo\u017eenosti sistema i jednostavnosti napada. Kompleksnost arhitekture ne garantuje sigurnost; naprotiv, upravo ta slo\u017eenost mo\u017ee postati osjetljiva na najmanje poreme\u0107aje.<\/p>\n<p>Na kraju, ova ranjivost ukazuje na krhkost povjerenja u temeljne komponente. Kada jezgro koje pokre\u0107e brojne aplikacije postane ranjivo, posljedice se \u0161ire kroz \u010ditav ekosistem. Stabilnost osnovnih mehanizama time postaje ne samo tehni\u010dko pitanje, ve\u0107 i pitanje odr\u017eivosti cijelog softverskog okru\u017eenja.<\/p>","protected":false},"excerpt":{"rendered":"<p>WebKit ranjivost otkrio je sigurnosni istra\u017eiva\u010d Joseph Goydish, identifikuju\u0107i kriti\u010dan propust u Apple WebKit mehanizmu. Ova ranjivost posebno poga\u0111a internet pregleda\u010de tre\u0107ih strana na iOS 26.2, pa samim tim nagla\u0161ava va\u017enost bezbjednosnih mjera. Posljedice&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8741,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3758,3430,3410,1452,3485,3760,3756,3759,841,3757,3755,3349],"class_list":["post-8740","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apple-ranjivost","tag-cyber-napad","tag-cyber-security","tag-data-protection","tag-digitalna-pretnja","tag-exploit-alert","tag-ios-bezbednost","tag-memorijska-greska","tag-rce","tag-safari-pregledac","tag-webkit-ranjivost","tag-zastita-podataka"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8740","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8740"}],"version-history":[{"count":3,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8740\/revisions"}],"predecessor-version":[{"id":8744,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8740\/revisions\/8744"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8741"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8740"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8740"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8740"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}