Уязвимость Webkit в iOS 18.3.2, отслеживаемой как CVE-2025-24201, была связана с «чрезвычайно сложными» атаками. Эти атаки включали злонамеренно созданный веб -контент, который мог бы вырваться из песочной коробки веб -контента, что потенциально позволило получить несанкционированный доступ к компонентам системы. Уязвимость была использована в целевых атаках против конкретных людей, использующих более старые версии iOS, в частности, до iOS 17.2, где проблема была первоначально смягчена [1] [4] [8].
Apple назвала эти атаки очень сложными, предполагая, что они, вероятно, были проведены передовыми субъектами угроз, возможно, включающих национальные организации или сложные кибер-группы [1] [4]. Тем не менее, Apple не раскрыла конкретные подробности о атак, таких как личности злоумышленников или целей, в соответствии с его политикой отсутствия вопросов безопасности, пока не будут доступны исправления [1] [6].
Сама уязвимость является проблемой записи, выходящей за рамки в Webkit, которая поддерживает Safari и другие браузеры на iOS и MacOS. Этот недостаток позволил злоумышленникам обойти песочницу безопасности, которая предназначена для выделения веб -контента и предотвращения доступа к конфиденциальным системным ресурсам [4] [9]. Обновление для iOS 18.3.2 обеспечивает дополнительное исправление для этой уязвимости, гарантируя, что устройства, управляющие последним программным обеспечением, защищены от этих сложных атак [3] [5].
Хотя точная природа и масштаб этих атак остаются неясными, срочность обновления и описание атак как «чрезвычайно сложных» подчеркивают потенциальную серьезность уязвимости и важность применения патча быстрого [2] [3].
Цитаты:
[1] https://www.securityweek.com/apple-ships-ios-18-3-2-to-fix-already-exploited-webkit-flaw/
[2] https://www.forbes.com/sites/kateoflahertyuk/2025/03/12/ios-1832-update-now-warning-issed-to-all-iphone-users/
[3] https://www.zdnet.com/article/update-your-iphone-now-ios-18-3-2-patches-a-serious-web-browser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-hay-exploited-in-extremely-sophisticated-attack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-ios-18-3-2-2-webkit-hackers-sophitsated-attacks
[6] https://cyberscoop.com/apple-cro-day-patch-march-2025-cve-2025-24201/
[7] https://www.simplymac.com/apps/apple-releases-safari-18-3-1
[8] https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-cro-day-exploited-in-extremely-sophisticated-attacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangound-cero-day-used-in-attacks-against-iphones-and-pads
[10] https://www.csoonline.com/article/3843999/apple-patches-cro-day-bugs-used-in-targeted-iphone-attacks.html