CVE-2025-24201として追跡されるiOS 18.3.2のWebKitの脆弱性は、「非常に洗練された」攻撃にリンクされています。これらの攻撃には、Webコンテンツのサンドボックスから抜け出すことができる悪意のあるWebコンテンツが含まれ、システムコンポーネントへの不正アクセスが可能になりました。脆弱性は、古いバージョンのiOS、特にiOS 17.2の前のものを使用して特定の個人に対する標的攻撃で活用されました。この問題は最初に緩和されました[1] [4] [8]。
Appleは、これらの攻撃を非常に洗練されたものとして説明しており、おそらく国民国家のエンティティや洗練されたサイバーグループを含む高度な脅威アクターによって行われた可能性が高いことを示唆しています[1] [4]。ただし、Appleは、パッチが利用可能になるまでセキュリティの問題を議論しないというポリシーに沿って、攻撃者やターゲットの身元など、攻撃に関する具体的な詳細を明らかにしていません[1] [6]。
脆弱性自体は、iOSおよびMacOSのSafariやその他のブラウザを駆動するWebKit内の外れの執筆問題です。この欠陥により、攻撃者はセキュリティサンドボックスをバイパスすることができました。これは、Webコンテンツを分離し、機密性の高いシステムリソースにアクセスできないように設計されています[4] [9]。 iOS 18.3.2の更新は、この脆弱性に対する補足的な修正を提供し、最新のソフトウェアを実行するデバイスがこれらの洗練された攻撃に対して保護されるようにします[3] [5]。
これらの攻撃の正確な性質と範囲は不明のままですが、更新の緊急性と「非常に洗練された」という攻撃の説明は、脆弱性の潜在的な重大度とパッチを迅速に適用することの重要性を強調しています[2] [3]。
引用:
[1] https://www.securityweek.com/apple-ships-ios-18-3-2-to-fix-already-exploited-webkit-flaw/
[2] https://www.forbes.com/sites/kateoflahertyuk/2025/03/12/ios-832-update-now-warning-isued-to-all-iphone-users/
[3] https://www.zdnet.com/article/update-your-iphone-oios-18-3-2-patches-a-seriousweb-browser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-day-exploited-in-extremely-shophisticated-atcack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-ios-18-3-2-webkit-hackers-shophistated-attacks
[6] https://cyberscoop.com/apple-zero-day-patch-march-2025-cve-2025-24201/
[7] https://www.simplymac.com/apps/apple-releases-safari-18-3-1
[8] https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-zero-day-exploited-in-extremely-shophisticated-atcacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangerous-sero-day-day-day-in-tacks-against-iphones and-ipads
[10] https://www.csoonline.com/article/3843999/apple-patches-zero-day-bugs-used-in-targeted-iphone-atcacks.html