La vulnérabilité de WebKit dans iOS 18.3.2, suivie comme CVE-2025-24201, a été liée à des attaques "extrêmement sophistiquées". Ces attaques impliquaient un contenu Web élaboré avec malveillance qui pourrait sortir de la bac sable de contenu Web, permettant potentiellement un accès non autorisé aux composants système. La vulnérabilité a été exploitée dans des attaques ciblées contre des individus spécifiques utilisant des versions plus anciennes d'iOS, en particulier celles avant iOS 17.2, où le problème était initialement atténué [1] [4] [8].
Apple a décrit ces attaques comme très sophistiquées, suggérant qu'ils ont probablement été menés par des acteurs de menace avancés, incluant peut-être des entités nationales ou des cyber-groupes sophistiqués [1] [4]. Cependant, Apple n'a pas divulgué de détails spécifiques sur les attaques, telles que l'identité des attaquants ou des cibles, conformément à sa politique de ne pas discuter des problèmes de sécurité tant que les correctifs sont disponibles [1] [6].
La vulnérabilité elle-même est un problème d'écriture hors limites dans WebKit, qui alimente Safari et d'autres navigateurs sur iOS et MacOS. Ce défaut a permis aux attaquants de contourner le bac à sable de sécurité, qui est conçu pour isoler le contenu Web et l'empêcher d'accéder aux ressources système sensibles [4] [9]. La mise à jour de iOS 18.3.2 fournit une correction supplémentaire pour cette vulnérabilité, garantissant que les appareils exécutant le dernier logiciel sont protégés contre ces attaques sophistiquées [3] [5].
Bien que la nature et la portée exactes de ces attaques restent floues, l'urgence de la mise à jour et la description des attaques comme «extrêmement sophistiquées» soulignent la gravité potentielle de la vulnérabilité et l'importance d'appliquer rapidement le patch [2] [3].
Citations:
[1] https://www.securityweek.com/apple-ships-ios-18-3-2-to-fix-already-exploted-webkit-flaw/
[2] https://www.forbes.com/sites/kateoflahertyuk/2025/03/12/IOS-1832-update-now-warning-issued-to-all-iphone-users/
[3] https://www.zdnet.com/article/update-your-iphone-now-ios-18-3-2-patches-a-serious-web-browser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-day-pailited-in-extremely-sophistiqué-Attack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-ios-18-3-2-webkit-hackers-sophicated-attadiques
[6] https://cyberscoop.com/apple-zero-day-patch-march-2025-cve-2025-24201/
[7] https://www.simplymac.com/apps/apple-releases-safari-18-3-1
[8] https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-zero-ay-exploited-in-extremely-sophistiqué-attacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangous-zero-ay-used-in-attacks-against-iphones-and-ipads
[10] https://www.csoonline.com/article/3843999/apple-patches-zero-day-bugs-used-in-targeted-iphone-attacks.html