Apple выпустила экстренные обновления безопасности для движка веб-браузера WebKit, чтобы исправить ошибку нулевого дня. Компания описывает её как эксплуатируемую в «чрезвычайно сложных» атаках.
Уязвимость отслеживается как CVE-2025-24201. «Это дополнительное исправление для атаки, которая была заблокирована в iOS 17.2. Apple известно об отчёте о том, что эта проблема могла быть использована в чрезвычайно сложной атаке против определённых целевых устройств в версиях iOS до iOS 17.2», — заявила компания.
Apple пояснила, что злоумышленники могут эксплуатировать уязвимость, используя вредоносный веб-контент, чтобы выйти из песочницы. Проблему записи за пределами допустимого диапазона исправили с помощью улучшенных проверок для предотвращения несанкционированных действий в iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.
Устройства, затронутых этой уязвимостью, включают:
iPhone XS и более поздние версии,
iPad Pro 13 дюймов,
iPad Pro 12,9 дюймов 3-го поколения и более поздние версии,
iPad Pro 11 дюймов 1-го поколения и более поздние версии,
iPad Air 3-го поколения и более поздние версии,
iPad 7-го поколения и более поздние версии,
iPad mini 5-го поколения и более поздние версии,
Mac под управлением macOS Sequoia,
Apple Vision Pro.
Apple пока не опубликовала подробности об атаке.
Одновременно компания исправила три уязвимости нулевого дня, которые обнаружили с начала года, включая CVE-2025-24085 и CVE-2025-24200.
Это же второй раз, когда компания использует для описания уязвимости формулировку, включающую «целенаправленные атаки». В феврале Apple выпустила экстренные обновления безопасности, чтобы исправить уязвимость нулевого дня в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5. Как заявили в компании, она использовалась в целенаправленных и «чрезвычайно сложных» атаках, связанных со шпионажем.
Источник: habr.com
