Vulnerabilitat CVE-2025-24201

El Mezo el Vulnerabilitat

Traduir a:

Apple ha anunciat el llançament d'una actualització de seguretat crítica per solucionar una vulnerabilitat de dia zero, identificada com a CVE-2025-24201. Aquest defecte, que s'ha explotat activament en atacs "extremadament sofisticats", afecta el motor del navegador WebKit. El problema implica una vulnerabilitat d'escriptura fora dels límits que podria permetre als atacants eludir la zona de proves de contingut web, cosa que podria comprometre la seguretat del dispositiu.

Taula de continguts

CVE-2025-24201: Les dades tècniques

La vulnerabilitat CVE-2025-24201 es classifica com a escriptura fora de límits, un tipus de defecte que permet als atacants crear contingut web no segur capaç d'executar accions no autoritzades. En explotar aquest problema, els atacants podrien sortir del sandbox de WebKit i aconseguir el control del dispositiu afectat. Apple ha respost implementant comprovacions de seguretat millorades per evitar que es produeixin aquestes accions no autoritzades. Aquest pedaç també serveix com a solució addicional a un atac anterior que es va bloquejar a iOS 17.2.

Explotació activa en atacs dirigits

Apple ha reconegut que la vulnerabilitat podria haver estat explotada en atacs molt sofisticats dirigits a individus específics. Tanmateix, l'empresa no ha revelat detalls com ara l'origen dels atacs, la base d'usuaris objectiu o quant de temps va durar l'explotació. A més, encara no està clar si el defecte va ser descobert internament per l'equip de seguretat d'Apple o informat per un investigador extern.

Dispositius i versions de programari afectats

L'actualització de seguretat està disponible per als dispositius i versions de programari següents:

iOS 18.3.2 i iPadOS 18.3.2: iPhone XS i posteriors, iPad Pro de 13 polzades (3a generació i posteriors), iPad Pro de 12,9 polzades (3a generació i posteriors), iPad Pro de 11 polzades (1a generació i posteriors), iPad Air (3a generació i posteriors), iPad (7a generació i posteriors), iPad (7a generació i posteriors), iPad (7a generacions i posteriors).
macOS Sequoia 15.3.2: Macs amb macOS Sequoia.
Safari 18.3.1: Mac amb macOS Ventura i macOS Sonoma.
visionOS 2.3.2: Apple Vision Pro.

Els esforços en curs d’Apple per abordar les vulnerabilitats del dia zero

Aquesta és la tercera vulnerabilitat de dia zero que Apple ha pegat l'any 2025. Anteriorment, Apple també va abordar CVE-2025-24085 i CVE-2025-24200, destacant la creixent complexitat dels ciberatacs dirigits a l'ecosistema d'Apple. Aquests pedaços oportuns emfatitzen la importància de mantenir-se actualitzats amb les darreres correccions de seguretat.

Com mantenir-se protegit

Apple insta els usuaris a actualitzar els seus dispositius immediatament per protegir-se d'aquesta vulnerabilitat. Per actualitzar els vostres dispositius:

iPhone i iPad : aneu a Configuració > General > Actualització de programari i instal·leu la darrera actualització.
Mac : obriu Configuració del sistema > General > Actualització de programari per aplicar la darrera actualització de macOS.
Safari : els usuaris de Mac a Ventura o Sonoma haurien d'actualitzar Safari mitjançant Configuració del sistema > Actualització de programari.
Apple Vision Pro : actualitzeu visionOS mitjançant Configuració > General > Actualització de programari.

En mantenir-se al dia amb les actualitzacions, els usuaris poden mitigar el risc d'explotació d'aquesta vulnerabilitat de dia zero i millorar la seguretat dels seus dispositius Apple.

La ràpida resposta d'Apple a aquesta falla de seguretat reflecteix els esforços en curs per protegir els usuaris d'atacs sofisticats de dia zero. Tot i que la manca de transparència sobre l'escala i l'origen dels atacs genera preocupació, el pegat proporciona una protecció crucial per als dispositius afectats. Els usuaris haurien de prioritzar les actualitzacions oportunes per garantir la seguretat continuada contra les amenaces cibernètiques en evolució.