webkit - RunkIntel

# WebKit > [!high] Motor de renderização web da Apple com histórico contínuo de zero-days explorados — todo navegador em iOS usa WebKit por exigência da App Store. ## Visão Geral **WebKit** é o motor de renderização web open-source desenvolvido pela [[_apple|Apple]], utilizado como base do Safari em macOS, iPadOS e iOS. Por determinação da App Store, todos os navegadores em iOS — incluindo Chrome, Firefox e Edge — são obrigados a usar WebKit como motor de renderização, o que significa que uma única vulnerabilidade no WebKit compromete todos os browsers em dispositivos Apple. Essa característica torna o WebKit um alvo de altíssimo valor para atores estatais e grupos de espionagem: um único exploit pode alcançar centenas de milhões de dispositivos iOS globalmente. Em 2025, [[cve-2025-31277|CVE-2025-31277]] (CVSS 8.8) foi integrado ao exploit kit **DarkSword**, utilizado em campanhas de vigilância direcionadas contra jornalistas e ativistas em múltiplas regiões. No contexto LATAM, dispositivos iOS são amplamente utilizados por executivos e funcionários públicos de alto perfil, tornando o risco de espionagem via WebKit particularmente relevante para o Brasil e países vizinhos. O WebKit apresenta um ciclo de vulnerabilidade recorrente — a complexidade do motor de layout e o mecanismo de JIT do JavaScript (JavaScriptCore) são vetores históricos de exploits. A Apple tipicamente corrige zero-days do WebKit em ciclos rápidos, mas a janela de exposição — especialmente em dispositivos corporativos com patch lento — permanece significativa. > [!latam] Relevância Brasil/LATAM > Dispositivos iOS têm penetração crescente em executivos, governo federal e setor financeiro brasileiro. Um exploit WebKit representa risco de comprometimento silencioso de comúnicações e dados corporativos sensíveis sem qualquer interação do usuário (zero-click quando combinado com iMessage/Safari). ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2025-31277\|CVE-2025-31277]] | 8.8 | Ativa - buffer overflow, DarkSword kit | Sim | 2025-07 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-date AS "Patch" FROM "vulnerabilities" WHERE contains(product, "WebKit") SORT patch-date DESC ``` %% ## TTPs Associadas Vulnerabilidades no WebKit tipicamente habilitam as seguintes técnicas MITRE ATT&CK: - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - exploit via navegação web - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - execução via motor de renderização - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - quando combinado com Safari Server-Side ## Detecção e Defesa - Manter Safari e iOS sempre atualizados - Apple pública patches críticos em ciclos rápidos - Monitorar uso de [[m1050-exploit-protection|M1050 - Exploit Protection]] em endpoints macOS gerenciados - Aplicar [[m1051-update-software|M1051 - Update Software]] como controle primário - Em ambientes corporativos, habilitar MDM com perfis de atualização automática para iOS - Usar [[m1026-privileged-account-management|M1026 - Privileged Account Management]] para limitar impacto pós-compromisso ## Setores Afetados - [[government|Governo]] - dispositivos iOS de funcionários públicos - [[financial|Financeiro]] - executivos com acesso a sistemas críticos - [[technology|Tecnologia]] - desenvolvedores e pesquisadores ## Referências - [Apple Security Advisories](https://support.apple.com/en-us/103088) - [WebKit Blog](https://webkit.org/blog/) - [CVE-2025-31277 - NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-31277) ## Notas Relacionadas **Vendor:** [[_apple|Apple]] **CVEs:** [[cve-2025-31277|CVE-2025-31277]] **TTPs:** [[t1189-drive-by-compromise|T1189]], [[t1203-exploitation-for-client-execution|T1203]] **Setores:** [[government|Governo]], [[financial|Financeiro]]