ช่องโหว่ของ WebKit ใน iOS 18.3.2 ถูกติดตามเป็น CVE-20125-24201 นั้นเชื่อมโยงกับการโจมตีที่ "ซับซ้อนมาก" การโจมตีเหล่านี้เกี่ยวข้องกับเนื้อหาเว็บที่สร้างขึ้นอย่างร้ายกาจซึ่งสามารถแยกออกจากกล่องทรายเนื้อหาเว็บซึ่งอาจอนุญาตให้เข้าถึงส่วนประกอบของระบบโดยไม่ได้รับอนุญาต ช่องโหว่ถูกเอาเปรียบในการโจมตีเป้าหมายกับบุคคลที่เฉพาะเจาะจงโดยใช้ iOS รุ่นเก่าโดยเฉพาะอย่างยิ่งก่อนที่ iOS 17.2 ซึ่งปัญหาได้รับการบรรเทาในขั้นต้น [1] [4] [8]
Apple ได้อธิบายถึงการโจมตีเหล่านี้ว่ามีความซับซ้อนสูงแนะนำว่าพวกเขาน่าจะดำเนินการโดยนักแสดงภัยคุกคามขั้นสูงซึ่งอาจรวมถึงหน่วยงานรัฐชาติหรือกลุ่มไซเบอร์ที่ซับซ้อน [1] [4] อย่างไรก็ตาม Apple ไม่ได้เปิดเผยรายละเอียดเฉพาะเกี่ยวกับการโจมตีเช่นตัวตนของผู้โจมตีหรือเป้าหมายซึ่งสอดคล้องกับนโยบายที่จะไม่พูดถึงปัญหาด้านความปลอดภัยจนกว่าจะมีแพตช์ [1] [6]
ช่องโหว่นั้นเป็นปัญหาการเขียนที่อยู่นอกขอบเขตภายใน WebKit ซึ่งให้อำนาจ Safari และเบราว์เซอร์อื่น ๆ บน iOS และ MacOS ข้อบกพร่องนี้อนุญาตให้ผู้โจมตีข้าม Security Sandbox ซึ่งออกแบบมาเพื่อแยกเนื้อหาเว็บและป้องกันไม่ให้เข้าถึงทรัพยากรระบบที่ละเอียดอ่อน [4] [9] การอัปเดตเป็น iOS 18.3.2 ให้การแก้ไขเพิ่มเติมสำหรับช่องโหว่นี้เพื่อให้มั่นใจว่าอุปกรณ์ที่ใช้งานซอฟต์แวร์ล่าสุดได้รับการป้องกันจากการโจมตีที่ซับซ้อนเหล่านี้ [3] [5]
ในขณะที่ลักษณะและขอบเขตที่แน่นอนของการโจมตีเหล่านี้ยังไม่ชัดเจนความเร่งด่วนของการอัพเดทและคำอธิบายของการโจมตีว่า "ซับซ้อนมาก" เน้นย้ำถึงความรุนแรงที่อาจเกิดขึ้นของช่องโหว่และความสำคัญของการใช้แพตช์ทันที [2] [3]
การอ้างอิง:
[1] https://www.securityweek.com/apple-ships-ios-18-3-2-to-fix-already-exploited-ebkit-flaw/
[2] https://www.forbes.com/sites/kateoflahertyuk/2025/03/12/IOS-1832-PDATE-NOW-WARNING-ISED-TO-ALL-IPHONE-USERS/
[3] https://www.zdnet.com/article/update-your-iphone-now-ios-18-3-2-patches-a-serious-web-browser-bug/
[4] https://arstechnica.com/security/2025/03/apple-patches-0-day-exploited-in-extremely-sophisticated-attack/
[5] https://www.bitdefender.com/en-us/blog/hotforsecurity/patch-iphone-ios-18-3-2-webkit-hackers-sophistated-attacks
[6] https://cyberscoop.com/apple-zero-day-patch-march-2025-cve-2025-24201/
[7] https://www.simplymac.com/apps/apple-releases-safari-18-3-1
[8] https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-zero-day-exploited-in-extremely-sophisticated-attacks/
[9] https://www.techradar.com/pro/security/apple-fixes-dangerous-zero-day-used-in-attacks-against-iphones-and-ipads
[10] https://www.csoonline.com/article/3843999/apple-patches-zero-day-bugs-used-in-targeted-iphone-attacks.html