Apple heeft opnieuw een zeer gevaarlijke zero-day kwetsbaarheid in de WebKit-engine van Safari met een noodpatch verholpen. De kwetsbaarheid werd al misbruikt in zeer geavanceerde aanvallen, gaf de techgigant aan.
Volgens Apple is de noodpatch een aanvulling op een eerdere fix in iOS 17.2. De kwetsbaarheid, CVE-2025-24201, is gevonden in de WebKit cross-platform engine van zijn browser Safari, maar ook in andere applicaties op andere besturingssystemen. Denk aan macOS, Linux en Windows.
Via de ‘out-of-bounds write’-kwetsbaarheid zijn aanvallers in staat om met kwaadaardige content uit de Web Content sandbox te breken. Vooral ging het hierbij om doelgerichte aanvallen op iOS-gebruikers met versies die nog niet van de v17.2-update waren voorzien. Deze geavanceerde aanvallen zouden volgens de techgigant al vaak zijn voorgekomen.
Patch snel draaien
De nu uitgebrachte patch zorgt er in ieder geval voor dat iOS-versie 18.3.2 tegen deze aanvallen is beschermd. Ook iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 en Safari 18.3.1 zijn beschermd.
Kwetsbare devices zijn:
- iPhone XS en latere modellen;
- iPad Pro 13-inch, iPad Pro 12.9-inch (derde generatie en nieuwer), iPad Pro 11-inch (eerste generatie en nieuwer), iPad Air (derde generatie en nieuwer), iPad (zevende generatie en nieuwer) en iPad mini (vijfde generatie en nieuwer);
- Macs die op macOS Sequoia draaien;
- Apple Vision Pro.
Apple adviseert iedere iPhone-, iPad-, MacBook- en Vision Pro-gebruiker zo snel mogelijk de update te installeren.
Al twee fixes in 2025
De nu uitgebrachte patch is niet de eerste die de techgigant dit jaar heeft uitgebracht. Ook in de afgelopen maanden zijn al patches uitgebracht. In januari ging het om CVE-2025-24085 en in februari betrof het CVE-2025-24200. In 2024 werden in totaal zes patches door Apple doorgevoerd.
Lees ook: Apple verhelpt zero-day die iPhones, Macs en meer treft