Apple устранила опасную уязвимость нулевого дня, использовавшуюся в атаках на iPhone и iPad

Apple выпустила новый патч для iOS и iPadOS, устраняющий уязвимость, которая использовалась в «чрезвычайно сложных» атаках.

В уведомлении о безопасности, опубликованном в начале этой недели, компания заявила, что недавно обнаружила ошибку выхода за пределы массива в WebKit – своем кросс-платформенном движке веб-браузера. WebKit используется браузером Safari Apple, а также другими приложениями и браузерами на macOS, iOS, Linux и Windows.

Уязвимость отслеживается как CVE-2025-24201 и может использоваться для выхода из песочницы содержимого веб-сайта с помощью пользовательского веб-контента. Ей еще не присвоена оценка серьезности.

По-видимому, уязвимость была исправлена в iOS 17.2, но все еще может быть использована в более старых моделях:

«Это дополнительное исправление для атаки, которая была заблокирована в iOS 17.2», - говорится в уведомлении Apple. «Apple осведомлена о сообщении о том, что эта проблема могла быть использована в чрезвычайно сложной атаке против конкретных целевых лиц на версиях iOS до iOS 17.2».

Ошибка была исправлена путем улучшения проверок, что предотвращает несанкционированные действия. Первые чистые версии - iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.

Согласно CyberInsider, патч применяется к широкому спектру устройств Apple, таких как iPhone (XS и более поздние модели), iPad (Pro, Air, mini и стандартные модели с 3-го поколения и далее) и устройства на базе macOS Sequoia.

Это стандартная практика Apple удерживать детали об уязвимости до тех пор, пока большинство конечных точек не будут обновлены. Поэтому мы не знаем, кто такие злоумышленники в этой «чрезвычайно сложной» атаке, или кто были жертвами.

BleepingComputer сообщает, что это третья уязвимость типа zero-day, которую Apple исправила в этом году, после CVE-2025-24085 в январе и CVE-2025-24200 в феврале. В прошлом году компания всего решила шесть уязвимостей типа zero-day.