Apple нещодавно випустила iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, watchOS 11.6, tvOS 11.6 і visionOS 2.6 для усунення серйозної вразливості нульового дня, CVE-2025-6558, яка активно використовувалася в атаках на користувачів Google Chrome.
Проблема полягає в ANGLE, рівні графічної абстракції з відкритим вихідним кодом, який використовується для перекладу команд GPU між платформами. Зловмисники можуть створювати шкідливі HTML-сторінки, щоб використовувати цей недолік, дозволяючи їм виконувати довільний код і потенційно вириватися з середовища пісочниці Chrome. Google виправив помилку 15 липня після того, як її Група аналізу загроз — дослідники Влад Столяров і Клеман Лесінь — у червні помітила, що вона використовується в дикій природі.
Хоча уразливість спочатку була пов’язана з Chrome, Apple випустила оновлення, оскільки її власний движок браузера WebKit, який підтримує Safari та інше програмне забезпечення Apple, також покладається на ті самі компоненти з відкритим кодом. У уражених версіях Safari недолік міг призвести до неочікуваних збоїв. Хоча не повідомлялося про активну експлуатацію користувачів Safari, Apple швидко вжила заходів, щоб закрити будь-які можливі вектори атак. Це включає виправлення в iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, iPadOS 17.7.9 для старіших iPad, watchOS 11.6, tvOS 18.6 і visionOS 2.6.
Докладніше:Android 16: розширений захист запобігає атакам через USB
22 липня Агентство з кібербезпеки та безпеки інфраструктури США (CISA) додало CVE-2025-6558 до свого списку відомих експлуатованих уразливостей. Відповідно до обов’язкової оперативної директиви 22-01 федеральні агентства зобов’язані застосувати виправлення до 12 серпня. CISA також закликала всіх мережевих захисників, а не лише тих, хто працює в державному секторі, віддавати пріоритет виправленням, попереджаючи, що зловмисники зазвичай використовують такі вразливості, як ця, для зламу систем.
Швидка відповідь Apple підкреслює, наскільки тісно пов’язані ризики безпеки на різних платформах. Компанія зазначила, що не розкриває та не обговорює вразливості до моменту випуску патчів. Це допомагає зменшити вікно можливостей для зловмисників. Ці останні оновлення є частиною ширшого поштовху Apple, щоб заблокувати свою екосистему, особливо тому, що WebKit використовується в iOS, iPadOS і macOS.
Користувачам слід якомога швидше встановити ці оновлення та переконатися, що Chrome також оновлено. Окрім цього, експерти з безпеки рекомендують основні принципи: будьте обережні, куди ви натискаєте, дотримуйтесь надійних веб-сайтів і оновлюйте все своє програмне забезпечення. Оскільки Apple цього року вже виправила п’ять інших нульових днів, включаючи критичні недоліки з січня по квітень, стає зрозуміло, що це вже не просто теоретичні загрози. Бути в курсі новин – це не просто хороша практика. Це важливо.
(черезБлеючий комп'ютер)