Luka w zabezpieczeniach CVE-2025-24201

Do Mezo w Wrażliwość

Przetłumacz na:

Firma Apple ogłosiła wydanie krytycznej aktualizacji zabezpieczeń w celu naprawienia luki typu zero-day, zidentyfikowanej jako CVE-2025-24201. Ta wada, która była aktywnie wykorzystywana w „niezwykle wyrafinowanych” atakach, wpływa na silnik przeglądarki WebKit. Problem dotyczy luki w zabezpieczeniach umożliwiającej zapis poza zakresem, która może umożliwić atakującym ominięcie piaskownicy zawartości internetowej, potencjalnie narażając bezpieczeństwo urządzenia.

Spis treści

CVE-2025-24201: Szczegóły techniczne

Luka CVE-2025-24201 jest klasyfikowana jako zapis poza zakresem, rodzaj luki, która umożliwia atakującym tworzenie niebezpiecznych treści internetowych zdolnych do wykonywania nieautoryzowanych działań. Wykorzystując ten problem, atakujący mogliby potencjalnie wydostać się z piaskownicy WebKit i przejąć kontrolę nad dotkniętym urządzeniem. Apple zareagowało, wdrażając ulepszone kontrole bezpieczeństwa, aby zapobiec wystąpieniu tych nieautoryzowanych działań. Ta poprawka służy również jako uzupełnienie wcześniejszego ataku, który został zablokowany w systemie iOS 17.2.

Aktywne wykorzystanie w atakach ukierunkowanych

Apple przyznało, że luka mogła zostać wykorzystana w wysoce zaawansowanych atakach wymierzonych w konkretne osoby. Jednak firma nie ujawniła szczegółów, takich jak pochodzenie ataków, docelowa baza użytkowników ani jak długo trwała eksploatacja. Ponadto nie jest jasne, czy luka została odkryta wewnętrznie przez zespół ds. bezpieczeństwa Apple, czy też zgłoszona przez zewnętrznego badacza.

Dotknięte urządzenia i wersje oprogramowania

Aktualizacja zabezpieczeń jest dostępna dla następujących urządzeń i wersji oprogramowania:

iOS 18.3.2 i iPadOS 18.3.2: iPhone XS i nowsze, iPad Pro 13 cali (3. generacji i nowsze), iPad Pro 12,9 cala (3. generacji i nowsze), iPad Pro 11 cali (1. generacji i nowsze), iPad Air (3. generacji i nowsze), iPad (7. generacji i nowsze) i iPad mini (5. generacji i nowsze).
macOS Sequoia 15.3.2: komputery Mac z systemem macOS Sequoia.
Safari 18.3.1: komputery Mac z systemem macOS Ventura i macOS Sonoma.
Wersja iOS 2.3.2: Apple Vision Pro.

Ciągłe wysiłki Apple mające na celu rozwiązanie luk w zabezpieczeniach typu zero-day

To trzecia luka typu zero-day, którą Apple załatało w 2025 r. Wcześniej Apple zajmowało się również lukami CVE-2025-24085 i CVE-2025-24200, podkreślając rosnącą złożoność cyberataków wymierzonych w ekosystem Apple. Te terminowe poprawki podkreślają znaczenie pozostawania na bieżąco z najnowszymi poprawkami bezpieczeństwa.

Jak zachować ochronę

Apple wzywa użytkowników do natychmiastowej aktualizacji urządzeń w celu ochrony przed tą luką. Aby zaktualizować urządzenia:

iPhone i iPad : Przejdź do Ustawienia > Ogólne > Aktualizacja oprogramowania i zainstaluj najnowszą aktualizację.
Mac : Otwórz Ustawienia systemowe > Ogólne > Uaktualnienia oprogramowania, aby zastosować najnowszą aktualizację systemu macOS.
Safari : Użytkownicy komputerów Mac w systemach Ventura i Sonoma powinni zaktualizować przeglądarkę Safari w Ustawieniach systemowych > Uaktualnienia oprogramowania.
Apple Vision Pro : Zaktualizuj system visionOS poprzez Ustawienia > Ogólne > Uaktualnienia oprogramowania.

Dzięki aktualizacjom na bieżąco użytkownicy mogą ograniczyć ryzyko wykorzystania tej luki typu zero-day i zwiększyć bezpieczeństwo swoich urządzeń Apple.

Szybka reakcja Apple na tę lukę w zabezpieczeniach odzwierciedla trwające wysiłki mające na celu ochronę użytkowników przed wyrafinowanymi atakami typu zero-day. Podczas gdy brak przejrzystości co do skali i pochodzenia ataków budzi obawy, poprawka zapewnia kluczową ochronę dla dotkniętych urządzeń. Użytkownicy powinni priorytetowo traktować terminowe aktualizacje, aby zapewnić ciągłe bezpieczeństwo przed rozwijającymi się cyberzagrożeniami.