苹果公司近期发布安全更新，修复了一个被编号为CVE-2025-6558的高危零日漏洞。该漏洞存在于谷歌Chrome浏览器的ANGLE与GPU组件中，允许远程攻击者通过特制HTML页面实现沙箱逃逸。该漏洞已在野外被实际利用，谷歌威胁分析小组（TAG）的研究员报告了此问题。苹果在公告中指出，此漏洞源于开源代码，其Safari浏览器在处理恶意网络内容时可能出现意外崩溃。此次安全更新已覆盖iOS、iPadOS、macOS、visionOS、watchOS和tvOS等多个平台及设备型号。

🎯 漏洞详情与影响：CVE-2025-6558是一个CVSS评分8.8的高危零日漏洞，存在于谷歌Chrome 138.0.7204.157之前的版本中，具体是ANGLE与GPU组件对不可信输入的验证不足。这可能导致远程攻击者通过精心构造的HTML页面实现沙箱逃逸，从而对用户设备造成安全威胁。

💻 攻击向量与利用：漏洞的根源在于ANGLE（近乎原生图形层引擎）的组件，该引擎是谷歌开发的开源图形引擎，充当图形API之间的兼容层。此次漏洞的报告者是谷歌威胁分析小组（TAG）的研究员，并且谷歌已确认该漏洞的利用程序已在野外出现，极有可能已被威胁组织实际利用。

🍎 苹果的修复措施：苹果公司通过WebKit安全更新来解决此漏洞，因为其软件也属于受影响的开源项目。更新已推送至iOS 18.6、iPadOS 18.6、macOS Sequoia 15.6、iPadOS 17.7.9、visionOS 2.6、watchOS 11.6以及tvOS 18.6等多个版本，覆盖了iPhone、iPad、Mac、Apple Vision Pro、Apple Watch和Apple TV等广泛的设备型号。

⚠️ 安全警告与建议：苹果在公告中警告，处理恶意构造的网络内容可能导致Safari浏览器意外崩溃。用户应尽快更新至最新的操作系统版本，以确保设备免受此零日漏洞的潜在攻击。

HackerNews 编译，转载请注明出处：

苹果已修复一个被用于攻击谷歌Chrome用户的高危零日漏洞。该漏洞编号为CVE-2025-6558（CVSS评分8.8），苹果通过安全更新予以解决。

此漏洞源于谷歌Chrome 138.0.7204.157之前版本中ANGLE与GPU组件对不可信输入的验证不足，可能使远程攻击者通过特制HTML页面实现沙箱逃逸。

ANGLE（近乎原生图形层引擎）是谷歌开发的开源图形引擎，充当OpenGL ES与Direct3D、Vulkan、Metal等其他图形API之间的兼容层。

谷歌威胁分析小组（TAG）研究员Clément Lecigne和Vlad Stolyarov于2025年6月23日报告此漏洞。本周，美国网络安全和基础设施安全局（CISA）将其纳入已知被利用漏洞（KEV）目录。谷歌TAG团队专门调查国家背景黑客及商业间谍软件发动的攻击，此次漏洞极可能已被某威胁组织实际利用。

“谷歌确认针对CVE-2025-6558的漏洞利用程序已在野出现。”谷歌发布的警报声明称。

苹果在公告中说明：“此漏洞存在于开源代码中，苹果软件属于受影响项目。CVE编号由第三方机构分配。”并警告称“处理恶意构造的网络内容可能导致Safari意外崩溃”。

苹果已通过WebKit安全更新修复以下产品的漏洞：

iOS 18.6与iPadOS 18.6：iPhone XS及后续机型；13英寸iPad Pro、12.9英寸iPad Pro（第三代及后续）、11英寸iPad Pro（第一代及后续）、iPad Air（第三代及后续）、iPad（第七代及后续）及iPad mini（第五代及后续）macOS Sequoia 15.6：所有运行macOS Sequoia的Mac设备iPadOS 17.7.9：12.9英寸iPad Pro（第二代）、10.5英寸iPad Pro及iPad（第六代）visionOS 2.6：Apple Vision ProwatchOS 11.6：Apple Watch Series 6及后续机型tvOS 18.6：Apple TV HD与Apple TV 4K（所有型号）

 

 

 

---

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文