Apple opublikowało aktualizacje systemów operacyjnych iOS 18.3.2 i iPados 18.3.2 z awaryjną korektą krytycznej podatności na zero dnia w silniku przeglądarki Webkit, która jest aktywnie obsługiwana przez atakujących.
Podatność za pomocą identyfikatora CVE-2025-24201 pozwala hakerowi uzyskać dostęp do pamięci poza dopuszczalnym zakresem. Apple powiedział, że brak kodu systemu operacyjnego może być użyty w „niezwykle złożonym ataku na określone cele”. „Jest to dodatkowa korekta komponentów ochrony, które zostały sfinalizowane wraz z wydaniem iOS 17.2”, powiedziała firma. Podatność została wyeliminowana przy użyciu ulepszonych inspekcji, aby zapobiec nieautoryzowanym działaniom.
Raport Apple nie wskazuje, czy podatność została odkryta przez jednego z jego badaczy, czy kogoś spoza firmy, a także nie ujawnia, gdy zaczęły się ataki za pomocą błędu i jak długo trwały. „Apple nie ujawnia ochrony naszych klientów, nie omawia i nie potwierdza problemu bezpieczeństwa, dopóki nie zostanie przeprowadzona dochodzenie, a poprawki lub wydania nie będą dostępne”, dodała firma.
Chociaż ta bezbronność zerowej dnia była najprawdopodobniej używana tylko w atakach docelowych, Apple zalecił użytkownikom pilnie ustanowienie aktualizacji bezpieczeństwa w celu zablokowania potencjalnie ciągłych prób ataków.
