CVE-2025-24201 Pažeidžiamumas
„Apple“ paskelbė apie kritinio saugos naujinimo išleidimą, kad pašalintų nulinės dienos pažeidžiamumą, identifikuotą kaip CVE-2025-24201. Šis trūkumas, kuris buvo aktyviai naudojamas „itin sudėtingose“ atakose, paveikia „WebKit“ žiniatinklio naršyklės variklį. Problema susijusi su neribotu rašymo pažeidžiamumu, dėl kurio užpuolikai gali apeiti žiniatinklio turinio smėlio dėžę, o tai gali pakenkti įrenginio saugai.
Turinys
CVE-2025-24201: techninė informacija
Pažeidžiamumas CVE-2025-24201 priskiriamas neribotam rašymui – tam tikro tipo trūkumai, leidžiantys užpuolikams sukurti nesaugų žiniatinklio turinį, galintį atlikti neleistinus veiksmus. Išnaudodami šią problemą, užpuolikai gali išeiti iš „WebKit“ smėlio dėžės ir valdyti paveiktą įrenginį. „Apple“ sureagavo įdiegdama patobulintas saugos patikras, kad išvengtų šių neteisėtų veiksmų. Šis pleistras taip pat naudojamas kaip papildomas ankstesnės atakos, kuri buvo užblokuota iOS 17.2, pataisa.
Aktyvus išnaudojimas tikslinių išpuolių metu
„Apple“ pripažino, kad pažeidžiamumas galėjo būti išnaudotas vykdant labai sudėtingas atakas, nukreiptas prieš konkrečius asmenis. Tačiau bendrovė neatskleidė tokių detalių kaip atakų kilmė, tikslinė vartotojų bazė ar išnaudojimo trukmė. Be to, lieka neaišku, ar trūkumą viduje aptiko „Apple“ saugos komanda, ar apie tai pranešė išorės tyrėjas.
Paveikti įrenginiai ir programinės įrangos versijos
Saugos naujinimas pasiekiamas šiems įrenginiams ir programinės įrangos versijoms:
- iOS 18.3.2 ir iPadOS 18.3.2: iPhone XS ir naujesnės versijos, iPad Pro 13 colių (3 kartos ir naujesnės versijos), iPad Pro 12,9 colio (3 kartos ir naujesnės versijos), iPad Pro 11 colių (1 kartos ir naujesnės versijos), iPad Air (3 kartos ir naujesnės versijos), iPad (7 kartos ir naujesnės versijos) ir iPad mini (5 kartos
- „macOS Sequoia 15.3.2“: „Mac“ kompiuteriai, kuriuose veikia „macOS Sequoia“.
- „Safari 18.3.1“: „Mac“ kompiuteriai, kuriuose veikia „macOS Ventura“ ir „macOS Sonoma“.
- visionOS 2.3.2: Apple Vision Pro.
„Apple“ nuolatinės pastangos pašalinti nulinės dienos pažeidžiamumą
Tai yra trečiasis nulinės dienos pažeidžiamumas, kurį „Apple“ pataisė 2025 m. Anksčiau „Apple“ taip pat atkreipė dėmesį į CVE-2025-24085 ir CVE-2025-24200, pabrėždama didėjantį kibernetinių atakų, nukreiptų prieš „Apple“ ekosistemą, sudėtingumą. Šios laiku pataisytos pataisos pabrėžia, kad svarbu neatsilikti nuo naujausių saugos pataisų.
Kaip išlikti apsaugotam
„Apple“ ragina vartotojus nedelsiant atnaujinti savo įrenginius, kad apsisaugotų nuo šio pažeidžiamumo. Norėdami atnaujinti įrenginius:
- iPhone ir iPad : eikite į Settings > General > Software Update ir įdiekite naujausią naujinimą.
- „Mac“ : atidarykite Sistemos nustatymai > Bendrieji > Programinės įrangos naujinimas, kad pritaikytumėte naujausią „MacOS“ naujinimą.
- „Safari“ : „Mac“ naudotojai, naudodami „Ventura“ arba „Sonoma“, turėtų atnaujinti „Safari“ naudodami Sistemos nustatymai > Programinės įrangos naujinimas.
- Apple Vision Pro : atnaujinkite visionOS naudodami Nustatymai > Bendrieji > Programinės įrangos naujinimas.
Atsižvelgdami į naujinius, vartotojai gali sumažinti išnaudojimo dėl šio nulinės dienos pažeidžiamumo riziką ir padidinti savo Apple įrenginių saugumą.
Greitas „Apple“ atsakas į šį saugumo trūkumą atspindi nuolatines pastangas apsaugoti vartotojus nuo sudėtingų nulinės dienos atakų. Nors skaidrumo trūkumas dėl atakų masto ir kilmės kelia susirūpinimą, pleistras suteikia itin svarbią paveiktų įrenginių apsaugą. Vartotojai turėtų teikti pirmenybę savalaikiams naujinimams, kad užtikrintų nuolatinį saugumą nuo besivystančių kibernetinių grėsmių.
CVE-2025-24201 Pažeidžiamumas vaizdo įrašas
Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .
