Apple martedì rilasciato Un aggiornamento di sicurezza per affrontare un difetto zero-day che ha affermato è stato sfruttato in attacchi “estremamente sofisticati”.
La vulnerabilità è stata assegnata l’identificatore CVE CVE-2025-24201 ed è radicata nel componente del motore del browser Net Webkit.
È stato descritto come un problema di scrittura fuori limite che potrebbe consentire a un aggressore di creare contenuti internet dannosi in modo da poter uscire dalla sandbox di contenuti internet.
Apple ha affermato di aver risolto il problema con controlli migliorati per prevenire azioni non autorizzate. Ha anche notato che è una soluzione supplementare per un attacco che è stato bloccato iOS 17.2.
Inoltre, ha riconosciuto che la vulnerabilità “potrebbe essere stata sfruttata in un attacco estremamente sofisticato contro individui mirati specifici su versioni di iOS prima di iOS 17.2”.
Tuttavia, il consulente non menziona se il workforce di sicurezza di Apple ha scoperto il difetto o se è stato segnalato da un ricercatore esterno. Inoltre, non menziona quando sono iniziati gli attacchi, per quanto tempo sono durati e chi è stato preso di mira.
L’aggiornamento è disponibile per i seguenti dispositivi e versioni del sistema operativo –
- iOS 18.3.2 e ipados 18.3.2 -iPhone XS e successivamente, iPad Professional 13 pollici, iPad Professional 12,9 pollici di terza generazione e successivamente, 1a generazione di iPad Professional da 11 pollici e successivamente, la terza generazione iPad Air e successivamente, iPad 7a generazione e successiva
- MacOS Sequoia 15.3.2 – Mac in esecuzione di macos sequoia
- Safari 18.3.1 – Mac con macos ventura e macos sonoma
- Visionos 2.3.2 – Apple Imaginative and prescient Professional
Con l’ultimo sviluppo, Apple ha affrontato un totale di tre zero-days attivamente nel suo software program dall’inizio dell’anno, gli altri due sono CVE-2025-24085 E CVE-2025-24200.