Nieuws
image

Apple dicht WebKit-lek gebruikt bij 'zeer geraffineerde aanvallen'

woensdag 12 maart 2025, 09:15 door Redactie, 1 reacties

Apple heeft een actief misbruikte kwetsbaarheid in WebKit gedicht die is gebruikt bij een 'zeer geraffineerde aanval tegen specifieke personen', aldus het techbedrijf. Misbruik vond plaats in iOS-versies voor iOS 17.2. Het beveiligingslek, aangeduid als CVE-2025-24201, werd door Apple zelf ontdekt.

De kwetsbaarheid, een out-of-bounds write, maakt het mogelijk voor 'malafide webcontent' om uit de webcontent-sandbox van WebKit te breken. Verdere details over de aanvallen en doelwitten zijn niet door Apple gegeven. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.

Vorige maand waarschuwde Apple voor een andere actief misbruikte kwetsbaarheid die ook bij een 'zeer geraffineerde aanval' tegen bepaalde personen was ingezet. Via die kwetsbaarheid kan een aanvaller met fysieke toegang de 'USB Restricted Mode' op een vergrendelde telefoon uitschakelen. CVE-2025-24201 is verholpen in iOS en iPadOS 18.3.2, macOS Sequoia 15.3.2 en Safari 18.3.1 voor macOS Ventura en macOS Sonoma.

Reacties (1)
12-03-2025, 16:35 door Anoniem
Impact: Maliciously crafted web content may be able to break out of Web Content sandbox. This is a supplementary fix for an attack that was blocked in iOS 17.2. (Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals on versions of iOS before iOS 17.2.)

Bron:https://support.apple.com/en-gb/122281

Met zo een omschrijving lijkt er dus op dat de fix voor 17.2 niet meegenomen is in de 18.x release. Een versiemanagement probleem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search