Apple выпустила обновления безопасности, устраняющие опасную уязвимость, которая использовалась в атаках нулевого дня против пользователей Google Chrome.
Уязвимость отслеживается под идентификатором CVE-2025-6558. Она связана с некорректной проверкой недоверенных данных в ANGLE (Almost Native Graphics Layer Engine) — библиотеке, обрабатывающей GPU-команды и преобразующей вызовы OpenGL ES в Direct3D, Metal, Vulkan и OpenGL.
Эта уязвимость позволяет удаленным злоумышленникам запускать произвольный код в GPU-процессе браузера с помощью специально подготовленных HTML-страниц. Это может привести к выходу из песочницы, которая изолирует процессы браузера от ОС.
Уязвимость была обнаружена в июне экспертами по безопасности Google из команды Threat Analysis Group (TAG) — Владом Столяровым и Клеманом Лесинем (Clement Lecigne). Команда TAG занимается защитой пользователей Google от атак, спонсируемых государствами. Уязвимость была оперативно передана разработчикам Chrome и устранена 15 июля. Google также отметила, что баг уже активно использовался в атаках.
Хотя подробности атак Google пока не раскрывает, TAG регулярно фиксирует случаи использования уязвимостей нулевого дня правительственными хакерами для слежки за диссидентами, оппозиционными политиками и журналистами.
Apple выпустила обновления WebKit с исправлением CVE-2025-6558 для следующих устройств и ОС:
- iOS 18.6 и iPadOS 18.6: iPhone XS и новее, iPad Pro (13", 12.9" 3 поколения и новее, 11" 1 поколения и новее), iPad Air 3 поколения и новее, iPad 7 поколения и новее, iPad mini 5 поколения и новее.
- macOS Sequoia 15.6: все поддерживаемые Mac
- iPadOS 17.7.9: iPad Pro 12.9" 2 поколения, iPad Pro 10.5", iPad 6 поколения
- tvOS 18.6: все модели Apple TV HD и Apple TV 4K
- visionOS 2.6: Apple Vision Pro
- watchOS 11.6: Apple Watch Series 6 и новее
Apple пояснила:
Обработка специально созданного вредоносного веб-контента может привести к неожиданному сбою Safari. Эта уязвимость в открытом исходном коде, и программное обеспечение Apple входит в число затронутых проектов.
22 июля Агентство по кибербезопасности и защите инфраструктуры США (CISA) также включило эту уязвимость в список активно эксплуатируемых и потребовало от федеральных учреждений установить патчи до 12 августа.
Хотя директива BOD 22-01 применяется только к федеральным органам, CISA призвала всех администраторов как можно скорее устранить уязвимость CVE-2025-6558, подчеркнув ее высокий риск.
На прошлой неделе CISA предупредила:
Такие уязвимости часто используются злоумышленниками для атак и представляют серьезную угрозу для федеральных информационных систем
С начала года Apple уже устранила пять уязвимостей нулевого дня, которые использовались в целевых атаках, включая CVE-2025-24085 в январе, CVE-2025-24200 в феврале, CVE-2025-24201 в марте, а также CVE-2025-31200 и CVE-2025-31201 в апреле.
Угрозы безопасности
• Apple устранила уязвимость, использовавшуюся в атаках на пользователей Chrome
• Google индексирует чаты ChatGPT, которыми вы поделились: Конфиденциальные данные могут оказаться в открытом доступе
• Microsoft: Уязвимость Sploitlight в macOS раскрывает данные Apple Intelligence
• Мошенники используют мессенджер Max для кражи аккаунтов на Госуслугах: как работает схема и как защититься
• Cloudflare: сбой DNS 1.1.1.1 не связан с атакой или BGP-хайджеком
• UEFI-уязвимости в материнских платах Gigabyte позволяют обходить Secure Boot