导 读
网络安全和基础设施安全局 (CISA) 警告称,Apple 的 WebKit 浏览器引擎中存在一个被积极利用的0day漏洞,漏洞编号为 CVE-2025-24201。
该漏洞是一个越界写入问题,可能允许攻击者在易受攻击的设备上执行未经授权的代码。
该漏洞存在于 WebKit 中,它是 Safari 以及 macOS、iOS、Linux 和 Windows 上的其他应用程序所使用的跨平台 Web 浏览器引擎。
CVE-2025-24201 可通过恶意制作的 Web 内容加以利用,从而可能允许攻击者突破 Web 内容沙盒。
这可能导致未经授权的操作、进一步的利用、远程代码执行,甚至在受影响的设备上部署间谍软件。
受影响的产品
该漏洞影响多种Apple设备,包括:
- iPhone XS 及更高版本
- iPad Pro 13 英寸
- iPad Pro 12.9 英寸 (第三代及更新机型)
- iPad Pro 11 英寸(第 1 代及更新版本)
- iPad Air (第三代及更新版本)
- iPad (第七代及更新版本)
- iPad mini(第五代及更高版本)
- 运行 macOS Sequoia 的 Mac
- 苹果 Vision Pro
该漏洞还影响 iOS 和 iPadOS 上的第三方浏览器,这些浏览器需要使用 WebKit。
野外利用
苹果承认,在 iOS 17.2 之前的版本中,CVE-2025-24201 可能被利用来针对特定个人进行“极其复杂”的攻击。
虽然苹果尚未公布有关这些攻击的具体细节,但这些攻击似乎具有很强的针对性,而非普遍性。这是苹果在 2025 年解决的第三个0day漏洞。
Apple 已发布更新来解决此漏洞,包括改进检查以防止未经授权的操作:
-
iOS 18.3.2
-
iPadOS 18.3.2
-
macOS Sequoia 15.3.2
-
visionOS 2.3.2
-
Safari 18.3.1
建议用户立即将设备更新至最新软件版本。对于企业和高风险用户,建议启用锁定模式以加强设备安全性,抵御针对性攻击。
新闻链接:
https://cybersecuritynews.com/cisa-warns-of-apple-webkit-out-of-bounds-write/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):CISA 警告 Apple WebKit 越界写入漏洞正在被野外利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论