Aktívne zneužívaná zero-day zraniteľnosť v operačných systémoch Apple

Spoločnosť Apple vydala bezpečnostné aktualizácie na svoje operačné systémy iOS, iPadOS, macOS Sequoia, visionOS a webový prehliadač Safari, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť. Zraniteľnosť CVE-2025-24201 v komponente WebKit by útočník podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na únik z Web Content sandboxu a vzdialené vykonanie kódu.

Zraniteľné systémy:

  • Zariadenia s operačným systémom iOS vo verziách starších ako 18.3.2
  • Zariadenia s operačným systémom iPadOS vo verziách starších ako 18.3.2
  • Zariadenia s operačným systémom macOS Sequoia vo verziách starších ako 15.3.2
  • Zariadenia s operačným systémom visionOS vo verziách starších ako 2.3.2
  • Apple Safari vo verziách starších ako 18.3.1

Opis zraniteľnosti:

CVE-2025-24201 (CVSS skóre: 8.8)

Zraniteľnosť v komponente WebKit spočíva v možnosti zápisu do pamäte mimo povolených hodnôt a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na únik z Web Content sandboxu a vzdialené vykonanie kódu.

Spoločnosť Apple uviedla, že zraniteľnosť môže byť aktívne zneužívaná v rámci sofistikovaných útokov cielených na používateľov zariadení s iOS vo verziách starších ako 17.2.

Možné škody:

  • Obídenie bezpečnostného prvku
  • Vzdialené vykonanie kódu

Odporúčania:

Spoločnosť Apple odporúča bezodkladnú aktualizáciu operačných systémov iOS a iPadOS na verziu 18.3.2, macOS Sequoia na verziu 15.3.2, visionOS na verziu 2.3.2 a webový prehliadač Safari na verziu 18.3.1. 

Zdroje: