A Apple lançou uma atualização de segurança emergencial para corrigir uma falha zero-day que estava sendo ativamente explorada em ataques direcionados a iPhones e iPads. A vulnerabilidade, identificada no motor de navegador WebKit, representava um risco significativo para a segurança dos dispositivos.
A falha, catalogada como CVE-2025-24201, permitia que invasores contornassem as restrições de segurança (sandbox) do conteúdo da web através de manipulação de dados. O WebKit, componente fundamental do Safari e de diversos outros aplicativos em sistemas como macOS, iOS, Linux e Windows, tornava uma vasta gama de dispositivos vulneráveis.
Posição da Apple sobre falha de segurança
A Apple informou que a vulnerabilidade já havia sido parcialmente mitigada na atualização iOS 17.2, porém, o risco de exploração em versões anteriores do sistema persistia. Em comunicado oficial, a empresa declarou: “Esta é uma correção suplementar para um ataque que foi bloqueado no iOS 17.2. A Apple está ciente de um relatório indicando que esse problema pode ter sido explorado em ataques extremamente sofisticados contra indivíduos específicos em versões anteriores ao iOS 17.2.“
A correção implementada pela Apple envolveu o aprimoramento das verificações de segurança no WebKit, prevenindo a execução de ações não autorizadas. As versões consideradas seguras após a aplicação do patch são: iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 e Safari 18.3.1.
A atualização de segurança abrange uma ampla gama de dispositivos da Apple, incluindo iPhones XS e modelos mais recentes, iPads Pro, Air, mini e modelos padrão a partir da terceira geração, além de dispositivos que utilizam o macOS Sequoia.
Em linha com sua política padrão, a Apple não forneceu detalhes técnicos completos sobre a vulnerabilidade até que a maioria dos usuários tenha atualizado seus dispositivos. Informações sobre os agentes de ameaças responsáveis pelos ataques e as vítimas ainda não foram divulgadas.
Problemas corrigidos
Segundo o site BleepingComputer, esta é a terceira vulnerabilidade zero-day corrigida pela Apple em 2025. Em janeiro, a empresa solucionou a falha CVE-2025-24085, seguida pela CVE-2025-24200 em fevereiro. Em 2024, a Apple enfrentou seis vulnerabilidades zero-day ao longo do ano.
Especialistas em segurança cibernética recomendam que os usuários atualizem seus dispositivos Apple para as versões mais recentes dos sistemas operacionais e aplicativos o mais rápido possível, a fim de garantir a proteção contra potenciais ataques.