Компания Apple выпустила экстренные патчи для исправления уязвимости нулевого дня в движке WebKit. По данным компании, эта проблема уже использовалась в «чрезвычайно изощренных» атаках.
Уязвимость получила идентификатор CVE-2025-24201 и была обнаружена в кроссплатформенном движке WebKit, который используется в браузере Safari и многих других приложениях и браузерах для macOS, iOS, Linux и Windows.
«Это дополнительное исправление, связанное с атакой, которая была заблокирована в iOS 17.2, — сообщают в компании. — Apple известно о том, что эта проблема могла использоваться в iOS до версии iOS 17.2 в рамках чрезвычайно изощренных атак, направленных против конкретных людей».
По данным Apple, злоумышленники могут использовать CVE-2025-24201 с помощью специально подготовленного веб-контента, что в итоге приведет к побегу из песочницы.
Компания устранила эту проблему out-of-bound записи, усилив проверки для предотвращения несанкционированных действий в iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.
Свежая 0-day проблема затрагивает множество устройств, включая старые и новые модели различных гаджетов:
- iPhone XS и более поздние версии;
- iPad Pro 13, iPad Pro с диагональю 12,9 дюйма 3-го поколения и новее, iPad Pro с диагональю 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее;
- компьютеры под управлением macOS Sequoia;
- Apple Vision Pro.
Пока Apple не раскрывает подробности обнаружения этой уязвимости и не публикует данные о «чрезвычайно изощренных» атаках, с которыми связывают CVE-2025-24201.
Эта уязвимость стала третьей 0-day проблемой, исправленной в 2025 году. Так, первая уязвимость нулевого дня была устранена Apple в январе (CVE-2025-24085), а вторая в феврале (CVE-2025-24200) текущего года.
