Компанія Apple випустила екстрені патчі для виправлення вразливості нульового дня в рушії WebKit. За даними компанії, ця проблема вже використовувалася в «надзвичайно витончених» атаках.

Вразливість отримала ідентифікатор CVE-2025-24201 і була виявлена в кросплатформенному рушії WebKit, який використовується в браузері Safari і багатьох інших додатках і браузерах для macOS, iOS, Linux і Windows.

«Це додаткове виправлення, пов’язане з атакою, яка була заблокована в iOS 17.2, – повідомляють у компанії. – Apple відомо про те, що ця проблема могла використовуватися в iOS до версії iOS 17.2 в рамках надзвичайно витончених атак, спрямованих проти конкретних людей».

За даними Apple, зловмисники можуть використовувати CVE-2025-24201 за допомогою спеціально підготовленого веб-контенту, що в підсумку призведе до втечі з пісочниці.

Компанія усунула цю проблему out-of-bound запису, посиливши перевірки для запобігання несанкціонованим діям в iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 і Safari 18.3.1.

Свіжа 0-day проблема зачіпає безліч пристроїв, включно зі старими і новими моделями різних гаджетів:

-iPhone XS і пізніші версії;
-iPad Pro 13, iPad Pro з діагоналлю 12,9 дюйма 3-го покоління і новіше, iPad Pro з діагоналлю 11 дюймів 1-го покоління і новіше, iPad Air 3-го покоління і новіше, iPad 7-го покоління і новіше, а також iPad mini 5-го покоління і новіше;
-комп’ютери під управлінням macOS Sequoia;
-Apple Vision Pro.
Наразі Apple не розкриває подробиць виявлення цієї вразливості і не публікує дані про «надзвичайно витончені» атаки, з якими пов’язують CVE-2025-24201.

Ця вразливість стала третьою 0-day проблемою, виправленою 2025 року. Так, першу вразливість нульового дня Apple усунула в січні (CVE-2025-24085), а другу в лютому (CVE-2025-24200) поточного року.