Vulnerabilitatea CVE-2025-24201
Apple a anunțat lansarea unei actualizări critice de securitate pentru a remedia o vulnerabilitate zero-day, identificată ca CVE-2025-24201. Acest defect, care a fost exploatat activ în atacuri „extrem de sofisticate”, afectează motorul browserului WebKit. Problema implică o vulnerabilitate de scriere în afara limitelor care ar putea permite atacatorilor să ocolească sandbox-ul de conținut web, compromițând potențial securitatea dispozitivului.
Cuprins
CVE-2025-24201: Detaliile tehnice
Vulnerabilitatea CVE-2025-24201 este clasificată ca o scriere în afara limitelor, un tip de defect care permite atacatorilor să creeze conținut web nesigur, capabil să execute acțiuni neautorizate. Prin exploatarea acestei probleme, atacatorii ar putea ieși din sandbox-ul WebKit și pot obține controlul asupra dispozitivului afectat. Apple a răspuns implementând verificări de securitate îmbunătățite pentru a preveni apariția acestor acțiuni neautorizate. Acest patch servește și ca o remediere suplimentară a unui atac anterior care a fost blocat în iOS 17.2.
Exploatarea activă în atacurile direcționate
Apple a recunoscut că este posibil ca vulnerabilitatea să fi fost exploatată în atacuri extrem de sofisticate care vizează anumite persoane. Cu toate acestea, compania nu a dezvăluit detalii precum originile atacurilor, baza de utilizatori vizați sau cât a durat exploatarea. În plus, rămâne neclar dacă defectul a fost descoperit intern de echipa de securitate a Apple sau raportat de un cercetător extern.
Dispozitivele și versiunile software afectate
Actualizarea de securitate este disponibilă pentru următoarele dispozitive și versiuni de software:
- iOS 18.3.2 și iPadOS 18.3.2: iPhone XS și versiuni ulterioare, iPad Pro 13 inchi (a treia generație și mai târziu), iPad Pro 12,9 inchi (a treia generație și mai târziu), iPad Pro 11 inchi (a treia generație și mai târziu), iPad Air (a treia generație și mai târziu), iPad (a 7-a și mini-generația ulterioară), iPad (a 7-a și mini-generația ulterioară).
- macOS Sequoia 15.3.2: Mac-uri care rulează macOS Sequoia.
- Safari 18.3.1: Mac-uri care rulează macOS Ventura și macOS Sonoma.
- visionOS 2.3.2: Apple Vision Pro.
Eforturile continue ale Apple de a aborda vulnerabilitățile Zero Day
Aceasta este a treia vulnerabilitate zero-day pe care Apple a corectat-o în 2025. Anterior, Apple a abordat și CVE-2025-24085 și CVE-2025-24200, evidențiind complexitatea tot mai mare a atacurilor cibernetice care vizează ecosistemul Apple. Aceste corecții oportune subliniază importanța de a rămâne la curent cu cele mai recente remedieri de securitate.
Cum să rămâneți protejat
Apple îndeamnă utilizatorii să-și actualizeze dispozitivele imediat pentru a se proteja împotriva acestei vulnerabilități. Pentru a vă actualiza dispozitivele:
- iPhone și iPad : Accesați Setări > General > Actualizare software și instalați cea mai recentă actualizare.
- Mac : deschideți Setări sistem > General > Actualizare software pentru a aplica cea mai recentă actualizare macOS.
- Safari : utilizatorii de Mac de pe Ventura sau Sonoma ar trebui să actualizeze Safari prin Setări sistem > Actualizare software.
- Apple Vision Pro : Actualizați visionOS prin Setări > General > Actualizare software.
Fiind la curent cu actualizările, utilizatorii pot atenua riscul de exploatare din această vulnerabilitate zero-day și pot spori securitatea dispozitivelor lor Apple.
Răspunsul rapid al Apple la acest defect de securitate reflectă eforturile continue de a proteja utilizatorii de atacuri sofisticate zero-day. În timp ce lipsa de transparență în ceea ce privește amploarea și originea atacurilor ridică îngrijorări, patch-ul oferă protecție crucială pentru dispozitivele afectate. Utilizatorii ar trebui să acorde prioritate actualizărilor în timp util pentru a asigura securitatea continuă împotriva amenințărilor cibernetice în evoluție.
Vulnerabilitatea CVE-2025-24201 Video
Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .
