Уязвимость CVE-2025-24201
Apple объявила о выпуске критического обновления безопасности для исправления уязвимости нулевого дня, обозначенной как CVE-2025-24201. Эта уязвимость, которая активно эксплуатировалась в «чрезвычайно сложных» атаках, влияет на движок веб-браузера WebKit. Проблема связана с уязвимостью записи за пределами допустимого диапазона, которая может позволить злоумышленникам обойти песочницу веб-контента, потенциально ставя под угрозу безопасность устройства.
Оглавление
CVE-2025-24201: Технические подробности
Уязвимость CVE-2025-24201 классифицируется как запись за пределами допустимого диапазона, тип недостатка, который позволяет злоумышленникам создавать небезопасный веб-контент, способный выполнять несанкционированные действия. Эксплуатируя эту проблему, злоумышленники потенциально могут вырваться из песочницы WebKit и получить контроль над уязвимым устройством. Apple отреагировала внедрением улучшенных проверок безопасности для предотвращения этих несанкционированных действий. Этот патч также служит дополнительным исправлением для более ранней атаки, которая была заблокирована в iOS 17.2.
Активное использование в целенаправленных атаках
Apple признала, что уязвимость могла быть использована в сложных атаках, нацеленных на конкретных лиц. Однако компания не раскрыла такие подробности, как происхождение атак, целевая база пользователей или продолжительность эксплуатации. Кроме того, остается неясным, была ли уязвимость обнаружена внутренней службой безопасности Apple или о ней сообщил внешний исследователь.
Затронутые устройства и версии программного обеспечения
Обновление безопасности доступно для следующих устройств и версий программного обеспечения:
- iOS 18.3.2 и iPadOS 18.3.2: iPhone XS и более поздние версии, iPad Pro 13 дюймов (3-го поколения и более поздние версии), iPad Pro 12,9 дюйма (3-го поколения и более поздние версии), iPad Pro 11 дюймов (1-го поколения и более поздние версии), iPad Air (3-го поколения и более поздние версии), iPad (7-го поколения и более поздние версии) и iPad mini (5-го поколения и более поздние версии).
- macOS Sequoia 15.3.2: компьютеры Mac под управлением macOS Sequoia.
- Safari 18.3.1: Mac под управлением macOS Ventura и macOS Sonoma.
- visionOS 2.3.2: Apple Vision Pro.
Продолжающиеся усилия Apple по устранению уязвимостей нулевого дня
Это третья уязвимость нулевого дня, которую Apple исправила в 2025 году. Ранее Apple также исправила CVE-2025-24085 и CVE-2025-24200, подчеркнув растущую сложность кибератак, нацеленных на экосистему Apple. Эти своевременные исправления подчеркивают важность постоянного обновления последних исправлений безопасности.
Как оставаться защищенным
Apple призывает пользователей немедленно обновить свои устройства, чтобы защититься от этой уязвимости. Чтобы обновить свои устройства:
- iPhone и iPad : перейдите в «Настройки» > «Основные» > «Обновление ПО» и установите последнее обновление.
- Mac : откройте «Системные настройки» > «Основные» > «Обновление ПО», чтобы применить последнее обновление macOS.
- Safari : пользователям Mac на Ventura или Sonoma следует обновить Safari через Системные настройки > Обновление ПО.
- Apple Vision Pro : обновите visionOS через Настройки > Основные > Обновление ПО.
Оставаясь на связи с обновлениями, пользователи могут снизить риск эксплуатации этой уязвимости нулевого дня и повысить безопасность своих устройств Apple.
Быстрая реакция Apple на эту уязвимость безопасности отражает продолжающиеся усилия по защите пользователей от сложных атак нулевого дня. Хотя отсутствие прозрачности относительно масштаба и происхождения атак вызывает опасения, исправление обеспечивает важную защиту для затронутых устройств. Пользователи должны отдавать приоритет своевременным обновлениям, чтобы обеспечить постоянную защиту от развивающихся киберугроз.
Уязвимость CVE-2025-24201 Видео
Совет: Включите звук ON и смотреть видео в полноэкранном режиме.
