Компания Apple выпустила обновления безопасности для устранения уязвимости высокой степени серьезности, которая использовалась в атаках нулевого дня, направленных на пользователей Google Chrome.
Отслеживаемая как CVE-2025-6558, ошибка безопасности связана с некорректной проверкой недоверенного ввода в слое графической абстракции ANGLE (Almost Native Graphics Layer Engine) с открытым исходным кодом, который обрабатывает команды GPU и транслирует вызовы API OpenGL ES в Direct3D, Metal, Vulkan и OpenGL.
Уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в GPU-процессе браузера через специально созданные HTML-страницы, что потенциально может позволить им выйти из «песочницы», изолирующей процессы браузера от основной операционной системы.
Влад Столяров и Клеман Лецинь из Группы анализа угроз Google (TAG), команды экспертов по безопасности, занимающейся защитой клиентов Google от атак, обнаружили CVE-2025-6558 в июне и сообщили о ней команде Google Chrome, которая 15 июля исправила ее и пометила как активно используемую в атаках.
Хотя компания Google пока не предоставила дополнительной информации об этих атаках, Google TAG часто обнаруживает дефекты нулевого дня, используемые спонсируемыми государством субъектами угроз в целевых кампаниях, направленных на установку шпионского ПО на устройства высокопоставленных лиц.
Во вторник компания Apple выпустила обновления безопасности WebKit для устранения уязвимости CVE-2025-6558 для следующих программ и устройств:
- iOS 18.6 и iPadOS 18.6: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее.
- macOS Sequoia 15.6: компьютеры Mac под управлением macOS Sequoia
- iPadOS 17.7.9: iPad Pro 12,9-дюймов 2-го поколения, iPad Pro 10,5 дюймов и iPad 6-го поколения
- tvOS 18.6: Apple TV HD и Apple TV 4K (все модели)
- «visionOS 2»:https://support.apple.com/en-us/124154: Apple Vision Pro
- watchOS 11.6: Apple Watch Series 6 и более поздние версии
«Обработка злонамеренно созданного веб-контента может привести к неожиданному сбою Safari. Эта уязвимость в открытом коде, и Apple Software входит в число затронутых проектов».
- пояснили в Apple, описывая последствия успешной эксплуатации CVE-2025-6558
22 июля Агентство по кибербезопасности и защите инфраструктуры (CISA), американское агентство по киберзащите, также добавило эту ошибку безопасности в свой каталог уязвимостей, которые, как известно, используются в атаках, и потребовало от федеральных агентств исправить свое программное обеспечение к 12 августа.
Хотя обязательная оперативная директива (BOD) 22-01, предписывающая федеральным агентствам обеспечивать безопасность своих систем, распространяется только на федеральные агентства, CISA советует всем защитникам сетей как можно скорее установить приоритет на исправление уязвимости CVE-2025-6558.
«Подобные уязвимости являются частыми векторами атак для злоумышленников и представляют значительный риск для федеральных предприятий»
- предупредило агентство кибербезопасности на прошлой неделе
С начала года Apple также исправила пять уязвимостей нулевого дня, использовавшихся в целевых атаках: одну в январе (CVE-2025-24085), одну в феврале (CVE-2025-24200), третью в марте (CVE-2025-24201) и еще две в апреле (CVE-2025-31200 и CVE-2025-31201).