Az Apple március 11-én sürgősségi biztonsági frissítéseket adott ki egy nulladik napi sérülékenység javítására. Az Apple szerint ezt a sérülékenységet „rendkívül kifinomult” támadásokban használták ki, amelyek célzott egyéneket érintettek.
A CVE-2025-24201 az Apple WebKit böngészőmotorjában található, amely a Safari és számos más alkalmazás alapját képezi macOS, iOS, Linux és Windows rendszereken. Ez a hiba egy out-of-bounds write típusú sérülékenység, amely azt jelenti, hogy a sérülékeny program a memória egy olyan területére próbál adatot írni, amely nincs hozzárendelve az adott folyamathoz.
Az ilyen típusú hiba lehetőséget ad arra, hogy a támadók megváltoztassák a program működését, kód futtatását kényszerítsék ki a rendszerben, ami adatlopáshoz, jogosulatlan vezérléshez és további támadásokhoz vezethet. Ebben az esetben a sérülékenységet kihasználva a támadók rosszindulatúan alakított webes tartalom segítségével képesek voltak a Web Content sandbox védelmének megkerülésére, így a kódfuttatás nem korlátozódott a böngésző elkülönített környezetére.
A sérülékenység az alábbi eszközöket és rendszereket érinti:
- iPhone XS és újabb modellek
- iPad Pro 13 hüvelykes, iPad Pro 12,9 hüvelykes (3. generációtól kezdve), iPad Pro 11 hüvelykes (1. generációtól kezdve), iPad Air (3. generációtól kezdve), iPad (7. generációtól kezdve), iPad mini (5. generációtól kezdve)
- macOS Sequoia-t futtató Mac számítógépek
- Apple Vision Pro
Az eszközök és az adatok védelme érdekében erősen ajánlott az alábbi frissítések mielőbbi telepítése:
- iOS 18.3.2 és iPadOS 18.3.2
- macOS Sequoia 15.3.2
- Safari 18.3.1
- visionOS 2.3.2
