WebKit взломан: масштабная Zero Day затронула всю экосистему Apple

Apple выпустила экстренные обновления безопасности для устранения Zero-Day, который использовалcя в атаках высокой сложности.

Уязвимость CVE-2025-24201 была обнаружена в движке WebKit, который используется в браузере Safari, а также во множестве других приложений и браузеров на платформах macOS, iOS, Linux и Windows. По данным Apple, уязвимость связана с ошибкой выхода за границы массива ( out-of-bounds write) и может позволить злоумышленникам выйти за пределы песочницы Web Content при открытии специально сформированного веб-контента.

Ошибка является дополнительной мерой защиты к ранее заблокированной атаке в iOS 17.2. Компания подчеркнула, что проблема могла использоваться в целевых атаках против отдельных пользователей на более ранних версиях iOS, выпущенных до 17.2. Для исправления уязвимости реализованы улучшенные проверки в обновлениях iOS 18.3.2 , iPadOS 18.3.2 , macOS Sequoia 15.3.2 , visionOS 2.3.2 и Safari 18.3.1 .

В зоне риска оказались как новые, так и более старые устройства Apple, включая:

• iPhone XS и более поздние модели;
• iPad Pro (начиная с 3-го поколения 12,9-дюймовой версии и 1-го поколения 11-дюймовой версии);
• iPad Air (с 3-го поколения);
• iPad (с 7-го поколения);
• iPad mini (с 5-го поколения);
• компьютеры Mac под управлением macOS Sequoia;
• гарнитура Apple Vision Pro.

Компания пока не сообщила, кем была обнаружена уязвимость, и не раскрыла деталей об атаках, в которых она использовалась. Apple настоятельно рекомендует установить обновления как можно скорее, даже несмотря на то, что эксплоит использовался лишь в целенаправленных атаках.