苹果发布安全更新,修复一个已被用于针对 Google Chrome 用户的零日攻击的高危漏洞。
该漏洞编号为 CVE-2025-6558,存在于 ANGLE(Almost Native Graphics Layer Engine)开源图形抽象层中。ANGLE 主要负责处理 GPU 命令,并将 OpenGL ES API 调用转换为 Direct3D、Metal、Vulkan 和 OpenGL 等图形接口。由于 ANGLE 未正确验证不受信任的输入,攻击者可通过特制的 HTML 页面远程执行任意代码,从而在浏览器的 GPU 进程中实现代码执行,进而有可能绕过浏览器进程与操作系统之间的沙箱隔离机制。
该漏洞由 Google 威胁分析小组(TAG)的 Vlad Stolyarov 和 Clément Lecigne 于 2025 年 6 月发现并报告给 Chrome 团队。Google 随后于 7 月 15 日发布修复补丁,并将该漏洞标记为“已在攻击中被利用”。
尽管 Google 尚未披露具体的攻击细节,但 Google TAG 一贯致力于发现由国家支持的攻击者发起的零日漏洞利用行动,这类攻击通常面向政治异见人士、反对派政治人物以及记者等高风险群体,目的是在其设备上部署间谍软件。
本周二,苹果公司发布了 WebKit 安全更新,以修复编号为 CVE-2025-6558 的安全漏洞,涉及以下软件和设备:
-
iOS 18.6 和 iPadOS 18.6:适用于 iPhone XS 及后续机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第三代及以上、iPad Pro 11 英寸第一代及以上、iPad Air 第三代及以上、iPad 第七代及以上、以及 iPad mini 第五代及以上机型;
-
macOS Sequoia 15.6:适用于运行 macOS Sequoia 的 Mac 设备;
-
iPadOS 17.7.9:适用于 iPad Pro 12.9 英寸第二代、iPad Pro 10.5 英寸,以及 iPad 第六代;
-
tvOS 18.6:适用于 Apple TV HD 及所有型号的 Apple TV 4K;
-
visionOS 2.6:适用于 Apple Vision Pro;
-
watchOS 11.6:适用于 Apple Watch Series 6 及以上型号。
苹果公司在说明 CVE-2025-6558 的影响时表示:“处理恶意构造的网页内容可能导致 Safari 意外崩溃。”苹果强调,这是一个源自开源代码的漏洞,Apple 的软件项目是受影响的其中之一。
此外,美国网络安全和基础设施安全局(CISA)也于 7 月 22 日将该漏洞列入其“已被利用的漏洞”目录,并要求联邦机构必须在 8 月 12 日前完成补丁更新。
尽管《绑定操作指令》(BOD) 22-01 仅适用于联邦政府机构,但 CISA 也建议所有网络防御人员优先修复 CVE-2025-6558 漏洞,以防止被恶意攻击者利用。
CISA 上周在警告中指出:“此类漏洞经常被恶意网络行为者利用,对联邦信息系统构成重大风险。”
值得注意的是,自今年年初以来,苹果已修复了 5 个被用于定向攻击的零日漏洞,分别是 1 月的 CVE-2025-24085、2 月的 CVE-2025-24200、3 月的 CVE-2025-24201,以及 4 月的 CVE-2025-31200 和 CVE-2025-31201。
发表评论
您还未登录,请先登录。
登录