Aktívne zneužívaná zero-day zraniteľnosť v operačných systémoch Apple
Spoločnosť Apple vydala bezpečnostné aktualizácie na svoje operačné systémy iOS, iPadOS, macOS Sequoia, visionOS a webový prehliadač Safari, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť. Zraniteľnosť CVE-2025-24201 v komponente WebKit by útočník podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na únik z Web Content sandboxu a vzdialené vykonanie kódu.
Zraniteľné systémy:
- Zariadenia s operačným systémom iOS vo verziách starších ako 18.3.2
- Zariadenia s operačným systémom iPadOS vo verziách starších ako 18.3.2
- Zariadenia s operačným systémom macOS Sequoia vo verziách starších ako 15.3.2
- Zariadenia s operačným systémom visionOS vo verziách starších ako 2.3.2
- Apple Safari vo verziách starších ako 18.3.1
Opis zraniteľnosti:
CVE-2025-24201 (CVSS skóre: 8.8)
Zraniteľnosť v komponente WebKit spočíva v možnosti zápisu do pamäte mimo povolených hodnôt a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na únik z Web Content sandboxu a vzdialené vykonanie kódu.
Spoločnosť Apple uviedla, že zraniteľnosť môže byť aktívne zneužívaná v rámci sofistikovaných útokov cielených na používateľov zariadení s iOS vo verziách starších ako 17.2.
Možné škody:
- Obídenie bezpečnostného prvku
- Vzdialené vykonanie kódu
Odporúčania:
Spoločnosť Apple odporúča bezodkladnú aktualizáciu operačných systémov iOS a iPadOS na verziu 18.3.2, macOS Sequoia na verziu 15.3.2, visionOS na verziu 2.3.2 a webový prehliadač Safari na verziu 18.3.1.
Zdroje:
- https://support.apple.com/en-us/122281
- https://support.apple.com/en-us/122283
- https://support.apple.com/en-us/122284
- https://support.apple.com/en-us/122285
- https://nvd.nist.gov/vuln/detail/CVE-2025-24201
- https://thehackernews.com/2025/03/apple-releases-patch-for-webkit-zero.html
- https://sensorstechforum.com/cve-2025-24201-apple-zero-day/
- https://exchange.xforce.ibmcloud.com/vulnerabilities/402946