„WebKit“ pažeidžiamumas „iOS 18.3.2“, stebimas kaip CVE-2025-24201, buvo susietas su „ypač rafinuotomis“ atakomis. Šios atakos apėmė piktybiškai sukurtą žiniatinklio turinį, kuris galėtų išsiveržti iš žiniatinklio turinio smėlio dėžės, o tai gali leisti neteisėtą prieigą prie sistemos komponentų. Pažeidžiamumas buvo išnaudojamas tikslinėse atakose prieš konkrečius asmenis, naudojant senesnes „iOS“ versijas, ypač prieš „iOS 17.2“, kur problema iš pradžių buvo mažinama [1] [4] [8].
„Apple“ apibūdino šiuos išpuolius kaip labai sudėtingus, o tai rodo, kad juos greičiausiai vedė pažengusiųjų grėsmės veikėjai, galbūt įskaitant nacionalinės valstybės subjektus ar sudėtingas kibernetines grupes [1] [4]. Tačiau „Apple“ neatskleidė konkrečios informacijos apie išpuolius, tokius kaip užpuolikų tapatybės ar tikslai, laikydamasis jos politikos neaptarti saugumo klausimų, kol nėra pataisų [1] [6].
Pats pažeidžiamumas yra „WebKit“ rašymo problema, kuri maitina „Safari“ ir kitas „iOS“ ir „MacOS“ naršykles. Šis trūkumas leido užpuolikams apeiti „Security Sandbox“, skirtą atskirti žiniatinklio turinį ir neleisti jam pasiekti neskelbtinų sistemos išteklių [4] [9]. Atnaujinta „iOS 18.3.2“ pateikia papildomą šio pažeidžiamumo pataisą, užtikrinant, kad įrenginiai, veikiantys naujausią programinę įrangą, yra apsaugoti nuo šių sudėtingų atakų [3] [5].
Nors tikslus šių atakų pobūdis ir apimtis išlieka neaiški, atnaujinimo skubumas ir atakų aprašymas kaip „ypač rafinuotas“ pabrėžia galimą pažeidžiamumo sunkumą ir tai, kaip svarbu greitai pritaikyti pleistrą [2] [3].
Citatos:
[1] https://www.securityweek.com/apple-ships-ios-18-3-2-to-fix-leady-exploited-webkit-flaw/
[2] https://www.forbes.com/sites/kateoflahertyuk/2025/03/12/ios-1832-update-now-Warning-Isued-to-all-iphone-users/
[3] https://www.zdnet.com/article/update-your-phone-now-Ios-18-3-2-2-2-patches-a-serious-web-browser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-ay-exploited-in-extremely-sophistied-attack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-ios-18-3-2-2-webkit-hackerssofisticated-attacks
[6] https://cyberScoop.com/apple-zero-day-patch-march-2025-cve-2025-24201/
[7] https://www.simplymac.com/apps/apple-releases-safari-18-3-1
[8] https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-zero-day-exploited-in-extremely-sophisticated-attacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangerous-zero-day-dange-used-in-attacks-against-phones-and-ipads
[10] https://www.csoonline.com/article/3843999/apple-patches-zero-day-bugs-used-in-targeted-phone-attacks.html