A WebKit sebezhetősége az iOS 18.3.2-ben, a CVE-2025-24201 néven nyomon követve, a "rendkívül kifinomult" támadásokhoz kapcsolódik. Ezek a támadások olyan rosszindulatúan kidolgozott webtartalmat tartalmaztak, amelyek kitörhetnek a webes homokozóból, potenciálisan lehetővé téve a rendszerkomponensek jogosulatlan hozzáférését. A sebezhetőséget kihasználták az iOS régebbi verzióit használó egyes személyek, különös tekintettel az iOS 17.2 -re, ahol a kérdést kezdetben enyhítették [1] [4] [8].
Az Apple ezeket a támadásokat nagyon kifinomultnak írta le, ami azt sugallja, hogy valószínűleg a fejlett fenyegetés szereplői, esetleg a nemzetállam-szervezetek vagy a kifinomult kibercsoportok is, [1] [4]. Az Apple azonban nem tett közzé konkrét részleteket a támadásokról, például a támadók személyazonosságáról vagy a célokról, összhangban annak politikájával, hogy nem tárgyalja a biztonsági kérdéseket, amíg a javítások nem állnak rendelkezésre [1] [6].
Maga a sebezhetőség a Webkit-en belül egy nem megfelelő írási problémát jelent, amely a Safari és más böngészőket hajtja végre az iOS-on és a MACOS-on. Ez a hiba lehetővé tette a támadók számára, hogy megkerüljék a biztonsági homokdobozt, amelyet úgy terveztek, hogy elkülönítsék a webtartalmat és megakadályozzák az érzékeny rendszer erőforrásokhoz való hozzáférést [4] [9]. Az iOS 18.3.2 frissítése kiegészítő javítást biztosít a sebezhetőséghez, biztosítva, hogy a legújabb szoftvereket futtató eszközök védjenek a kifinomult támadások ellen [3] [5].
Noha ezeknek a támadásoknak a pontos jellege és terjedelme továbbra sem tisztázott, a frissítés sürgőssége és a támadások "rendkívül kifinomult" leírása hangsúlyozza a sebezhetőség lehetséges súlyosságát és a tapasz gyors alkalmazásának fontosságát [2] [3].
Idézetek:
[1] https://www.securityweek.com/apple-ships-ios-18-3-2-to-fix-already-exploited-webkit-flaw/
[2] https://www.forbes.com/sites/kateoflahertyuk/2025/03/12/IOS-1832-NOWDATE-NOWWARNING-OSUGE-ALL-MINDE-USERS/
[3] https://www.zdnet.com/article/update-your-iphone-now-ios-18-3-2-patches-a-serious-web-browser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-day-exploited-in-extremely-sophisticated-attack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-ios-18-3-2-webkit-sackers-sofisticated-attacks
[6] https://cyberscoop.com/apple-zero-daypatch-march-2025-cve-2025-24201/
[7] https://www.simplyMac.com/apps/apple-raeses-safari-18-3-1
[8] https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-zero-day-exploited-in-extremely-sofisticated-attacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangerous-zero-day-day-day-in-attacks-against-iphones-and-ipads
[10] https://www.csoonline.com/article/3843999/apple-patches-zero-day-bugs-use-t-targeted-iphone-tacks.html