Apple heeft onlangs iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, watchOS 11.6, tvOS 11.6 en visionOS 2.6 uitgerold om een ernstige zero-day kwetsbaarheid, CVE-2025-6558, aan te pakken die actief werd uitgebuit bij aanvallen gericht op Google Chrome-gebruikers.
Het probleem ligt in ANGLE, de open-source grafische abstractielaag die wordt gebruikt om GPU-opdrachten tussen platforms te vertalen. Aanvallers kunnen kwaadaardige HTML-pagina's maken om deze fout te misbruiken, waardoor ze willekeurige code kunnen uitvoeren en mogelijk uit de sandbox-omgeving van Chrome kunnen ontsnappen. Google heeft de bug op 15 juli gepatcht nadat de Threat Analysis Group – onderzoekers Vlad Stolyarov en Clément Lecigne – de bug in juni hadden gemarkeerd als uitgebuit in het wild.
Hoewel het beveiligingslek oorspronkelijk verband hield met Chrome, bracht Apple updates uit omdat zijn eigen WebKit-browserengine, die Safari en andere Apple-software aanstuurt, ook afhankelijk is van dezelfde open-sourcecomponenten. In getroffen versies van Safari kan de fout tot onverwachte crashes leiden. Hoewel er geen actieve uitbuiting tegen Safari-gebruikers is gemeld, heeft Apple snel actie ondernomen om mogelijke aanvalsvectoren af te sluiten. Dit omvat patches in iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, iPadOS 17.7.9 voor oudere iPads, watchOS 11.6, tvOS 18.6 en visionOS 2.6.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2025-6558 op 22 juli toegevoegd aan de lijst met bekende misbruikte kwetsbaarheden. Federale instanties zijn verplicht om vóór 12 augustus patches toe te passen onder Binding Operational Directive 22-01. CISA drong er ook bij alle netwerkverdedigers op aan, en niet alleen die in de publieke sector, om prioriteit te geven aan patching, en waarschuwde dat aanvallers kwetsbaarheden zoals deze vaak gebruiken om systemen binnen te dringen.
De snelle reactie van Apple laat zien hoe nauw de veiligheidsrisico’s op verschillende platforms met elkaar verbonden zijn. Het bedrijf merkte op dat het kwetsbaarheden pas openbaar maakt of bespreekt nadat de patches zijn uitgebracht. Dit helpt de kans voor aanvallers te verkleinen. Deze nieuwste updates maken deel uit van de bredere poging van Apple om zijn ecosysteem af te sluiten, vooral omdat WebKit wordt gedeeld op iOS, iPadOS en macOS.
Aanbevolen lees:Android 16: Geavanceerde bescherming voorkomt USB-gebaseerde aanvallen
Gebruikers moeten deze updates zo snel mogelijk installeren en ervoor zorgen dat Chrome ook up-to-date is. Daarnaast bevelen beveiligingsexperts de basis aan: wees voorzichtig met waar u klikt, blijf bij vertrouwde websites en houd al uw software up-to-date. Nu Apple dit jaar al vijf andere zero-days heeft gepatcht, inclusief kritieke tekortkomingen van januari tot en met april, is het duidelijk dat dit niet langer alleen maar theoretische bedreigingen zijn. Op de hoogte blijven is niet alleen een goede gewoonte. Het is essentieel.
(viaPiepende computer)