Apple выпустила обновления безопасности, устраняющие опасную уязвимость, которая использовалась в атаках нулевого дня против пользователей Google Chrome.
Уязвимость отслеживается под идентификатором CVE-2025-6558. Она связана с некорректной проверкой недоверенных данных в ANGLE (Almost Native Graphics Layer Engine) — библиотеке, обрабатывающей GPU-команды и преобразующей вызовы OpenGL ES в Direct3D, Metal, Vulkan и OpenGL.
Эта уязвимость позволяет удаленным злоумышленникам запускать произвольный код в GPU-процессе браузера с помощью специально подготовленных HTML-страниц. Это может привести к выходу из песочницы, которая изолирует процессы браузера от ОС.
Уязвимость была обнаружена в июне экспертами по безопасности Google из команды Threat Analysis Group (TAG) — Владом Столяровым и Клеманом Лесинем (Clement Lecigne). Команда TAG занимается защитой пользователей Google от атак, спонсируемых государствами. Уязвимость была оперативно передана разработчикам Chrome и устранена 15 июля. Google также отметила, что баг уже активно использовался в атаках.
Хотя подробности атак Google пока не раскрывает, TAG регулярно фиксирует случаи использования уязвимостей нулевого дня правительственными хакерами для слежки за диссидентами, оппозиционными политиками и журналистами.
Apple выпустила обновления WebKit с исправлением CVE-2025-6558 для следующих устройств и ОС:
- iOS 18.6 и iPadOS 18.6: iPhone XS и новее, iPad Pro (13", 12.9" 3 поколения и новее, 11" 1 поколения и новее), iPad Air 3 поколения и новее, iPad 7 поколения и новее, iPad mini 5 поколения и новее.
- macOS Sequoia 15.6: все поддерживаемые Mac
- iPadOS 17.7.9: iPad Pro 12.9" 2 поколения, iPad Pro 10.5", iPad 6 поколения
- tvOS 18.6: все модели Apple TV HD и Apple TV 4K
- visionOS 2.6: Apple Vision Pro
- watchOS 11.6: Apple Watch Series 6 и новее
Apple пояснила:
Обработка специально созданного вредоносного веб-контента может привести к неожиданному сбою Safari. Эта уязвимость в открытом исходном коде, и программное обеспечение Apple входит в число затронутых проектов.
22 июля Агентство по кибербезопасности и защите инфраструктуры США (CISA) также включило эту уязвимость в список активно эксплуатируемых и потребовало от федеральных учреждений установить патчи до 12 августа.
Хотя директива BOD 22-01 применяется только к федеральным органам, CISA призвала всех администраторов как можно скорее устранить уязвимость CVE-2025-6558, подчеркнув ее высокий риск.
На прошлой неделе CISA предупредила:
Такие уязвимости часто используются злоумышленниками для атак и представляют серьезную угрозу для федеральных информационных систем
С начала года Apple уже устранила пять уязвимостей нулевого дня, которые использовались в целевых атаках, включая CVE-2025-24085 в январе, CVE-2025-24200 в феврале, CVE-2025-24201 в марте, а также CVE-2025-31200 и CVE-2025-31201 в апреле.
Угрозы безопасности
• Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
• В даркнете растёт рынок аренды аккаунтов мессенжера Max
• Apple предупреждает пользователей о целевых атаках шпионского ПО
• Новая уязвимость «нулевого дня» в роутерах TP-Link. CISA также предупреждает об активной эксплуатации других ошибок
• Google опровергает сообщения о крупной угрозе безопасности Gmail для 2,5 млрд пользователей
• WhatsApp закрыл критическую уязвимость в приложениях для iOS и macOS