Aktívne zneužívaná zero-day zraniteľnosť v operačných systémoch Apple

Spoločnosť Apple vydala bezpečnostné aktualizácie na svoje operačné systémy iOS, iPadOS, macOS Sequoia, visionOS a webový prehliadač Safari, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť. Zraniteľnosť CVE-2025-24201 v komponente WebKit by útočník podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na únik z Web Content sandboxu a vzdialené vykonanie kódu.

Zraniteľné systémy:

• Zariadenia s operačným systémom iOS vo verziách starších ako 18.3.2
• Zariadenia s operačným systémom iPadOS vo verziách starších ako 18.3.2
• Zariadenia s operačným systémom macOS Sequoia vo verziách starších ako 15.3.2
• Zariadenia s operačným systémom visionOS vo verziách starších ako 2.3.2
• Apple Safari vo verziách starších ako 18.3.1

Opis zraniteľnosti:

CVE-2025-24201 (CVSS skóre: 8.8)

Zraniteľnosť v komponente WebKit spočíva v možnosti zápisu do pamäte mimo povolených hodnôt a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na únik z Web Content sandboxu a vzdialené vykonanie kódu.

Spoločnosť Apple uviedla, že zraniteľnosť môže byť aktívne zneužívaná v rámci sofistikovaných útokov cielených na používateľov zariadení s iOS vo verziách starších ako 17.2.

Možné škody:

• Obídenie bezpečnostného prvku
• Vzdialené vykonanie kódu

Odporúčania:

Spoločnosť Apple odporúča bezodkladnú aktualizáciu operačných systémov iOS a iPadOS na verziu 18.3.2, macOS Sequoia na verziu 15.3.2, visionOS na verziu 2.3.2 a webový prehliadač Safari na verziu 18.3.1. 

Zdroje:

• https://support.apple.com/en-us/122281
• https://support.apple.com/en-us/122283
• https://support.apple.com/en-us/122284
• https://support.apple.com/en-us/122285
• https://nvd.nist.gov/vuln/detail/CVE-2025-24201
• https://thehackernews.com/2025/03/apple-releases-patch-for-webkit-zero.html
• https://sensorstechforum.com/cve-2025-24201-apple-zero-day/
• https://exchange.xforce.ibmcloud.com/vulnerabilities/402946