CVE-2025-24201 Уязвимост

До Mezo през Уязвимостг

Превод на:

Apple обяви пускането на критична актуализация на сигурността за коригиране на уязвимост от нулев ден, идентифицирана като CVE-2025-24201. Този пропуск, който е бил активно използван при „изключително сложни“ атаки, засяга двигателя на уеб браузъра WebKit. Проблемът включва уязвимост при запис извън границите, която може да позволи на нападателите да заобиколят пясъчника на уеб съдържанието, което потенциално компрометира сигурността на устройството.

Съдържание

CVE-2025-24201: Технически подробности

Уязвимостта CVE-2025-24201 е категоризирана като запис извън границите, вид недостатък, който позволява на атакуващите да създават опасно уеб съдържание, способно да изпълнява неразрешени действия. Използвайки този проблем, нападателите биха могли потенциално да излязат от пясъчника на WebKit и да получат контрол над засегнатото устройство. Apple отговори, като внедри подобрени проверки за сигурност, за да предотврати извършването на тези неразрешени действия. Тази корекция също така служи като допълнителна корекция на по-ранна атака, която беше блокирана в iOS 17.2.

Активна експлоатация при насочени атаки

Apple призна, че уязвимостта може да е била използвана в много сложни атаки, насочени към определени лица. Компанията обаче не е разкрила подробности като произхода на атаките, целевата потребителска база или колко дълго е продължила експлоатацията. Освен това остава неясно дали пропускът е открит вътрешно от екипа по сигурността на Apple или е докладван от външен изследовател.

Засегнати устройства и версии на софтуера

Актуализацията за защита е налична за следните устройства и версии на софтуера:

iOS 18.3.2 & iPadOS 18.3.2: iPhone XS и по-късно, iPad Pro 13-инча (3-то поколение и по-късно), iPad Pro 12,9-инча (3-то поколение и по-късно), iPad Pro 11-инча (1-во поколение и по-късно), iPad Air (3-то поколение и по-късно), iPad (7-мо поколение и по-късно) и iPad mini (5-то поколение и по-късно).
macOS Sequoia 15.3.2: Mac с macOS Sequoia.
Safari 18.3.1: Mac с macOS Ventura и macOS Sonoma.
visionOS 2.3.2: Apple Vision Pro.

Продължаващите усилия на Apple за справяне с уязвимостите от нулевия ден

Това е третата уязвимост на нулевия ден, която Apple коригира през 2025 г. Преди това Apple адресира и CVE-2025-24085 и CVE-2025-24200, подчертавайки нарастващата сложност на кибератаките, насочени към екосистемата на Apple. Тези навременни корекции подчертават важността да бъдете актуализирани с най-новите поправки за сигурност.

Как да останете защитени

Apple призовава потребителите незабавно да актуализират своите устройства, за да се предпазят от тази уязвимост. За да актуализирате вашите устройства:

iPhone и iPad : Отидете в Settings > General > Software Update и инсталирайте най-новата актуализация.
Mac : Отворете Системни настройки > Общи > Актуализация на софтуера, за да приложите най-новата актуализация на macOS.
Safari : Потребителите на Mac на Ventura или Sonoma трябва да актуализират Safari чрез Системни настройки > Актуализация на софтуера.
Apple Vision Pro : Актуализирайте visionOS чрез Settings > General > Software Update.

Като остават в крак с актуализациите, потребителите могат да намалят риска от експлоатация от тази нулева уязвимост и да подобрят сигурността на своите устройства на Apple.

Бързият отговор на Apple на този пропуск в сигурността отразява продължаващите усилия за защита на потребителите от сложни атаки от нулевия ден. Въпреки че липсата на прозрачност по отношение на мащаба и произхода на атаките предизвиква безпокойство, корекцията осигурява решаваща защита за засегнатите устройства. Потребителите трябва да дават приоритет на навременните актуализации, за да осигурят постоянна сигурност срещу развиващите се киберзаплахи.