Podatność na WebKit w iOS 18.3.2, śledzona jako CVE-2025-24201, została powiązana z „wyjątkowo wyrafinowanymi” atakami. Ataki te obejmowały złośliwie opracowane treści internetowe, które mogłyby wyrwać się z piaskownicy treści internetowych, potencjalnie umożliwiając nieautoryzowany dostęp do komponentów systemowych. Podatność została wykorzystana w ukierunkowanych atakach na określone osoby przy użyciu starszych wersji iOS, w szczególności przed iOS 17.2, w których problem został początkowo złagodzony [1] [4] [8].
Apple określiło te ataki jako wysoce wyrafinowane, co sugeruje, że prawdopodobnie zostały przeprowadzone przez aktorów zaawansowanych zagrożeń, prawdopodobnie w tym podmiotów państwowych lub wyrafinowanych grup cybernetycznych [1] [4]. Jednak Apple nie ujawniło szczegółowych szczegółów na temat ataków, takich jak tożsamość atakujących lub cele, zgodnie z polityką nie omawiania problemów bezpieczeństwa, dopóki łatki nie będą dostępne [1] [6].
Sama podatność jest problemem spisującym w WebKit, który zasila Safari i inne przeglądarki na iOS i macOS. Ta wada pozwoliła atakującemu ominąć piaskownicę bezpieczeństwa, która została zaprojektowana w celu izolowania treści internetowych i zapobiegania jej dostępowi do wrażliwych zasobów systemowych [4] [9]. Aktualizacja do iOS 18.3.2 zawiera dodatkową poprawkę dla tej podatności, zapewniając, że urządzenia uruchamiające najnowsze oprogramowanie są chronione przed tymi wyrafinowanymi atakami [3] [5].
Podczas gdy dokładny charakter i zakres tych ataków pozostają niejasne, pilność aktualizacji i opis ataków jako „wyjątkowo wyrafinowany” podkreślają potencjalną ciężkość podatności i znaczenie szybkiego zastosowania łatki [2] [3].
Cytaty:
[1] https://www.securityweek.com/apple-ships-ios-18-3-2 to-fix-already-exploiteed-ebkit-flaw/
[2] https://www.forbes.com/sites/kateoflahertyuk/2025/03/12/ios-1832-pdate-warning-issued-to-all-iphone-users/
[3] https://www.zdnet.com/article/update-your-iphone-row-ios-18-3-2-patches-a-serious-web-browser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-day-exploited-extremely-sophisticed-attack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-ios-18-3-2-webkit-hackers-sophisticated-attacks
[6] https://cyberscoop.com/apple-zero-day-patch-march-2025-cve-2025-24201/
[7] https://www.simplymac.com/apps/apple-releases-safari-18-3-1
[8] https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-zero-Day-Exploiteed-in-Extremely-sophisticated-attacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangous-zero-day-used-in-attacks-against-iphones-and-ipads
[10] https://www.csoonline.com/article/3843999/apple-patches-zero-day-agus-used--ceteded-iphone-attacks.html