Уязвимость CVE-2025-24201 была обнаружена в движке WebKit, который используется в браузере Safari, а также во множестве других приложений и браузеров на платформах macOS, iOS, Linux и Windows. По данным Apple, уязвимость связана с ошибкой выхода за границы массива ( out-of-bounds write) и может позволить злоумышленникам выйти за пределы песочницы Web Content при открытии специально сформированного веб-контента.
Ошибка является дополнительной мерой защиты к ранее заблокированной атаке в iOS 17.2. Компания подчеркнула, что проблема могла использоваться в целевых атаках против отдельных пользователей на более ранних версиях iOS, выпущенных до 17.2. Для исправления уязвимости реализованы улучшенные проверки в обновлениях iOS 18.3.2 , iPadOS 18.3.2 , macOS Sequoia 15.3.2 , visionOS 2.3.2 и Safari 18.3.1 .
В зоне риска оказались как новые, так и более старые устройства Apple, включая:
- iPhone XS и более поздние модели;
- iPad Pro (начиная с 3-го поколения 12,9-дюймовой версии и 1-го поколения 11-дюймовой версии);
- iPad Air (с 3-го поколения);
- iPad (с 7-го поколения);
- iPad mini (с 5-го поколения);
- компьютеры Mac под управлением macOS Sequoia;
- гарнитура Apple Vision Pro.
Компания пока не сообщила, кем была обнаружена уязвимость, и не раскрыла деталей об атаках, в которых она использовалась. Apple настоятельно рекомендует установить обновления как можно скорее, даже несмотря на то, что эксплоит использовался лишь в целенаправленных атаках.