Zraniteľnosť Webkit v iOS 18.3.2, sledovaná ako CVE-2025-24201, bola spojená s „mimoriadne sofistikovanými“ útokmi. Tieto útoky zahŕňali zlomyseľne vytvorený webový obsah, ktorý by mohol vypuknúť z pieskovca webového obsahu, čo potenciálne umožňuje neoprávnený prístup k komponentom systému. Zraniteľnosť sa využila pri cielených útokoch proti konkrétnym jednotlivcom, ktorí využívali staršie verzie iOS, konkrétne pred iOS 17.2, kde sa problém spočiatku zmiernil [1] [4] [8].
Spoločnosť Apple opísala tieto útoky ako vysoko sofistikované, čo naznačuje, že ich pravdepodobne vykonávali aktéri pokročilých hrozieb, pravdepodobne vrátane entít národného štátu alebo sofistikovaných kybernetických skupín [1] [4]. Spoločnosť Apple však nezverejnila konkrétne podrobnosti o útokoch, ako sú identity útočníkov alebo ciele, v súlade s jej politikou, že nediskutuje o bezpečnostných problémoch, kým nie sú k dispozícii záplaty [1] [6].
Samotná zraniteľnosť je problém s zápisom mimo hraníc v rámci WebKit, ktorý poháňa safari a ďalšie prehliadače na iOS a MacOS. Táto chyba umožnila útočníkom obísť bezpečnostný pieskovisko, ktorý je navrhnutý tak, aby izoloval webový obsah a zabránil mu v prístupe k citlivým systémovým zdrojom [4] [9]. Aktualizácia systému iOS 18.3.2 poskytuje doplnkovú opravu tejto zraniteľnosti, ktorá zaisťuje, že zariadenia prevádzkované najnovší softvér sú chránené pred týmito sofistikovanými útokmi [3] [5].
Zatiaľ čo presná povaha a rozsah týchto útokov zostávajú nejasné, naliehavosť aktualizácie a opis útokov ako „extrémne prepracovaných“ zdôrazňujú potenciálnu závažnosť zraniteľnosti a dôležitosť okamžitého uplatňovania náplasti [2] [3].
Citácie:
[1] https://www.securityweek.com/apple-ships-ios-18-3-2-2-fix-already-exploited-webkit-flaw/
[2] https://www.forbes.com/sites/Kateoflahertyuk/2025/03/12/ios-1832 Update-nowwarning-issued-to-all-all-iphone-users/
[3] https://www.zdnet.com/article/update-your-iphone-now-ios-18-2-2-patches-a-serious-web-browser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-dday-exploit-in-extremely-sophistikovaný-attack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-ios-18-3-2-webkit-hackers-sophistikované-attacka
[6] https://cyberscoop.com/apple-zero-day-patch-march-2025-cve-2025-24201/
[7] https://www.simplymac.com/apps/apple-releases-safari-18-3-1
[8] https://www.bleepingComputer.com/news/apple/apple-fixes-webkit-zero-da-day-exploited-in-extremely-sophistikované-attacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangerous-zero-day-used-in-attacks-against-iphones-and-ipads
[10] https://www.csoonline.com/article/3843999/apple-patches-zero-day-bugs-used-in-in-targeted-iphone-attacks.html