# CVE-2025-24201 > [!high] Escape de Sandbox WebKit no iOS/Safari - Campanha DarkSword > Vulnerabilidade de escape de sandbox no motor WebKit do Apple Safari e iOS, explorada na campanha DarkSword para sair da sandbox do browser e comprometer o sistema operacional após RCE inicial via JavaScript malicioso. ## Visão Geral A [[cve-2025-24201|CVE-2025-24201]] é uma vulnerabilidade de **escape de sandbox** no motor **WebKit**, base do Safari e de todos os browsers no iOS (por exigência da Apple). A falha permite que código JavaScript malicioso que já está sendo executado na sandbox do WebKit escape para o contexto do sistema operacional, elevando drasticamente o impacto de vulnerabilidades de RCE no browser. Esta CVE é parte da cadeia de exploração da campanha [[darksword-ios-campaign|DarkSword]], que combina múltiplas CVEs Apple 2025 para comprometimento completo de dispositivos iOS de alto perfil. Vulnerabilidades de sandbox escape em WebKit são extremamente valiosas para grupos de spyware porque o WebKit processa conteúdo de múltiplas fontes no iOS (e-mail, SMS, Safari, apps), ampliando enormemente a superfície de ataque. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Sandbox Escape no WebKit | | Componente | Apple WebKit - motor de renderização | | Vetor | Rede - requer visita a conteúdo malicioso | | Impacto | Saída da sandbox + acesso ao sistema operacional | | Cadeia DarkSword | Complementa CVE-2025-24085 (EoP) e CVE-2025-24086 | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1189-drive-by-compromise\|T1189]] | Drive-by via link malicioso no iOS | | [[t1404-exploit-for-privilege-escalation\|T1404]] | Escape de sandbox como elevação efetiva | | [[t1059-007-javascript\|T1059.007]] | JavaScript malicioso no WebKit | | [[t1430-location-tracking\|T1430]] | Acesso a localização pós-escape da sandbox | ## Detecção e Defesa **Mitigações:** - Atualizar iOS para 18.3.2 ou superior e Safari para 18.3.1 - [[m1051-update-software\|M1051]] - Atualização automática do iOS e Safari habilitada - Para usuários de alto risco: ativar modo Lockdown no iPhone - Evitar clicar em links não confiáveis em apps de mensagens - Usar Mobile Verification Toolkit (MVT) para verificar comprometimento > [!latam] Relevância para Brasil e LATAM > Todos os browsers no iOS usam WebKit por obrigação da Apple, tornando esta vulnerabilidade universal em iPhones independentemente do browser utilizado. No contexto brasileiro, onde o iPhone tem penetração significativa no segmento premium, jornalistas investigativos, advogados e empresários de alto perfil são alvos naturais de campanhas de spyware que exploram estas vulnerabilidades. ## Referências - [Apple Security Advisory HT215211](https://support.apple.com/security/updates) - [NVD - CVE-2025-24201](https://nvd.nist.gov/vuln/detail/CVE-2025-24201)