CISA 警告 Apple WebKit 越界写入漏洞正在被野外利用

admin 2025年3月16日22:37:55评论14 views字数 940阅读3分8秒阅读模式

导 

网络安全和基础设施安全局 (CISA) 警告称,Apple 的 WebKit 浏览器引擎中存在一个被积极利用的0day漏洞,漏洞编号为 CVE-2025-24201。

CISA 警告 Apple WebKit 越界写入漏洞正在被野外利用

该漏洞是一个越界写入问题,可能允许攻击者在易受攻击的设备上执行未经授权的代码。

该漏洞存在于 WebKit 中,它是 Safari 以及 macOS、iOS、Linux 和 Windows 上的其他应用程序所使用的跨平台 Web 浏览器引擎。

CVE-2025-24201 可通过恶意制作的 Web 内容加以利用,从而可能允许攻击者突破 Web 内容沙盒。

这可能导致未经授权的操作、进一步的利用、远程代码执行,甚至在受影响的设备上部署间谍软件。

受影响的产品

该漏洞影响多种Apple设备,包括:

  • iPhone XS 及更高版本
  • iPad Pro 13 英寸
  • iPad Pro 12.9 英寸     (第三代及更新机型)
  • iPad Pro 11 英寸(第 1     代及更新版本)
  • iPad Air (第三代及更新版本)
  • iPad (第七代及更新版本)
  • iPad mini(第五代及更高版本)
  • 运行 macOS Sequoia 的     Mac
  • 苹果 Vision Pro

该漏洞还影响 iOS 和 iPadOS 上的第三方浏览器,这些浏览器需要使用 WebKit。

野外利用

苹果承认,在 iOS 17.2 之前的版本中,CVE-2025-24201 可能被利用来针对特定个人进行“极其复杂”的攻击。

虽然苹果尚未公布有关这些攻击的具体细节,但这些攻击似乎具有很强的针对性,而非普遍性。这是苹果在 2025 年解决的第三个0day漏洞。

Apple 已发布更新来解决此漏洞,包括改进检查以防止未经授权的操作:

  • iOS 18.3.2

  • iPadOS 18.3.2

  • macOS Sequoia 15.3.2

  • visionOS 2.3.2

  • Safari 18.3.1

建议用户立即将设备更新至最新软件版本。对于企业和高风险用户,建议启用锁定模式以加强设备安全性,抵御针对性攻击。

新闻链接:

https://cybersecuritynews.com/cisa-warns-of-apple-webkit-out-of-bounds-write/

CISA 警告 Apple WebKit 越界写入漏洞正在被野外利用

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):CISA 警告 Apple WebKit 越界写入漏洞正在被野外利用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月16日22:37:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CISA 警告 Apple WebKit 越界写入漏洞正在被野外利用https://cn-sec.com/archives/3837298.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息