Apple ha recentemente rilasciato un aggiornamento di sicurezza per affrontare una vulnerabilità zero-day nel motore del browser WebKit. Questa falla, identificata come CVE-2025-24201, è stata sfruttata in attacchi altamente sofisticati. Il problema riguarda una scrittura fuori dai limiti che permetterebbe a un attaccante di creare contenuti web malevoli capaci di evadere il sandbox del Web Content.

Apple ha risolto la questione migliorando i controlli per prevenire azioni non autorizzate, specificando che questo aggiornamento rappresenta una correzione supplementare per un attacco bloccato nella versione iOS 17.2. L'azienda ha riconosciuto che la vulnerabilità potrebbe essere stata sfruttata in attacchi molto sofisticati contro individui specifici su versioni di iOS precedenti alla 17.2.

Tuttavia, l'avviso non specifica se la falla è stata scoperta dal team di sicurezza di Apple o segnalata da un ricercatore esterno, né fornisce dettagli su quando gli attacchi sono iniziati, quanto sono durati o chi sono stati i bersagli.

L'aggiornamento è disponibile per diversi dispositivi e versioni di sistema operativo, tra cui iOS 18.3.2 e iPadOS 18.3.2 per iPhone XS e successivi, iPad Pro 13-inch, iPad Pro 12.9-inch di terza generazione e successivi, macOS Sequoia 15.3.2 per Mac, Safari 18.3.1 per macOS Ventura e macOS Sonoma, e visionOS 2.3.2 per Apple Vision Pro.

Con questo sviluppo, Apple ha affrontato un totale di tre zero-day attivamente sfruttati nel suo software dall'inizio dell'anno, gli altri due essendo CVE-2025-24085 e CVE-2025-24200.