苹果公司已发布iOS及其他操作系统的安全更新,修补了WebKit中一个已被黑客利用攻击谷歌Chrome用户的零日漏洞。
虽然企业通常通过安全更新来修复自身系统问题,但有时也需要应对第三方漏洞。本周二,苹果正是针对谷歌Chrome用户遭受的攻击采取了行动。
该漏洞编号为CVE-2025-6558,源于开源图形抽象层ANGLE(Almost Native Graphics Layer Engine)缺乏有效验证机制。据BleepingComputer报道,该引擎负责处理GPU指令,可将OpenGL ES API调用转换为Direct3D、OpenGL、Vulkan和Metal。
攻击者可通过特制网页,利用该漏洞在Chrome GPU进程中远程执行代码。这被认为是突破浏览器沙箱限制、进而攻击底层操作系统的有效途径。
关键的是,该技术已被实际用于针对Chrome用户的攻击活动。
漏洞由谷歌威胁分析小组的Vlad Stolyarov和Clement Lecigne发现,6月上报Chrome团队后于7月15日完成修补。
苹果补丁
尽管Chrome补丁已解决问题,苹果仍需保护可能使用相同技术的自有软件。周二发布的WebKit安全更新正是为此而来。
相关更新包含在iOS 18.6、iPadOS 18.6、macOS Sequoia 15.6、iPadOS 17.7.9、tvOS 18.6、watchOS 11.6和visionOS 2.6中。
苹果在更新说明中指出:”恶意构造的网页内容可能导致Safari意外崩溃”,并确认这是”开源代码漏洞,苹果软件属于受影响项目”。
防护建议
虽然该漏洞已被恶意利用,终端用户仍可采取防护措施。
首先应及时更新操作系统至最新版本,确保安全补丁生效。同时也要更新相关应用软件,本案中即需升级Chrome浏览器。
建议用户保持良好的数字卫生习惯:仅信任可靠来源的链接,避免访问可能暗藏攻击的网站。
