Zranitelnost WebKit v iOS 18.3.2, sledovaná jako CVE-2025-24201, byla spojena s „extrémně sofistikovanými“ útoky. Tyto útoky zahrnovaly zlomyslně vytvořený webový obsah, který by se mohl vymanit z karantény webového obsahu, což potenciálně umožňuje neoprávněný přístup ke systémovým komponentám. Zranitelnost byla využita při cílených útocích proti konkrétním jednotlivcům používajícím starší verze iOS, konkrétně ty před iOS 17.2, kde byl problém zpočátku zmírněn [1] [4] [8].
Apple popsal tyto útoky jako vysoce sofistikované, což naznačuje, že byli pravděpodobně prováděni pokročilými aktéři hrozby, možná včetně subjektů národního státu nebo sofistikovaných kybernetických skupin [1] [4]. Apple však nezveřejnil konkrétní podrobnosti o útocích, jako jsou identity útočníků nebo cíle, v souladu s jeho politikou nediskutovat o bezpečnostních otázkách, dokud nejsou k dispozici záplaty [1] [6].
Samotná zranitelnost je vydáním psaní v rámci WebKit, který poháněl Safari a další prohlížeče na iOS a MacOS. Tato chyba umožnila útočníkům obejít bezpečnostní karanténu, která je navržena tak, aby izolovala webový obsah a zabránilo mu v přístupu k citlivým systémovým zdrojům [4] [9]. Aktualizace pro iOS 18.3.2 poskytuje doplňkovou opravu této zranitelnosti a zajišťuje, že zařízení, která provozují nejnovější software, jsou chráněna před těmito sofistikovanými útoky [3] [5].
Zatímco přesná povaha a rozsah těchto útoků zůstává nejasná, naléhavost aktualizace a popis útoků jako „extrémně sofistikované“ zdůrazňuje potenciální závažnost zranitelnosti a důležitost okamžitého uplatňování náplasti [2] [3].
Citace:
[1] https://www.securityweek.com/apple-ships-sios-18-3-2-to-fix-already-xploited-webkit-flaw/
[2] https://www.forbes.com/sites/kateoflahertyuk/2025/03/12/ios-1832-opdate-nowwarning-ied-to-all-iphone-users/
[3] https://www.zdnet.com/article/update-your-iphone-now-sios-18-3-2-patches-a-serious-web-bowser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-y-exploited-in-extremely-sophististicted-atack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-sios-18-3-2-webkit-hackers-sophististicted-tacks
[6] https://cyberscoop.com/apple-zero-y-patch-march-2025-cve-2025-24201/
[7] https://www.simplymac.com/apps/apple-releases-safari-18-3-1
[8] https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-zero-yexploited-in-extremely-sophisticted-tacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangerous-zero-used-used-in-tacks-against-iphones-and-ipads
[10] https://www.csoonline.com/article/3843999/apple-patches-zero-day-ugs-used-in-targeted-iphone-tacks.html