Apple rullade nyligen ut iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, watchOS 11.6, tvOS 11.6 och visionOS 2.6 för att åtgärda en allvarlig nolldagarssårbarhet, CVE-2025-6558, som aktivt utnyttjades i attacker riktade mot Google Chrome-användare.
Problemet ligger i ANGLE, det grafiska abstraktionsskiktet med öppen källkod som används för att översätta GPU-kommandon över plattformar. Angripare kan skapa skadliga HTML-sidor för att utnyttja denna brist, så att de kan exekvera godtycklig kod och eventuellt bryta sig ut ur Chromes sandlådemiljö. Google korrigerade felet den 15 juli efter att dess Threat Analysis Group – forskarna Vlad Stolyarov och Clément Lecigne – flaggade den i juni som att den exploateras i naturen.
Läs mer:Nya iOS 16.4, macOS 13.3 och andra uppdateringar korrigerar över 30 säkerhetsangrepp
Även om sårbarheten ursprungligen var kopplad till Chrome, utfärdade Apple uppdateringar eftersom dess egen webbläsarmotor WebKit, som driver Safari och annan Apple-programvara, också förlitar sig på samma komponenter med öppen källkod. I berörda versioner av Safari kan felet leda till oväntade krascher. Även om ingen aktiv exploatering har rapporterats mot Safari-användare, gick Apple snabbt för att stänga av alla möjliga attackvektorer. Detta inkluderar patchar i iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, iPadOS 17.7.9 för äldre iPads, watchOS 11.6, tvOS 18.6 och visionOS 2.6.
U.S.C. Cybersecurity and Infrastructure Security Agency (CISA) lade till CVE-2025-6558 till sin lista över kända exploaterade sårbarheter den 22 juli. Federala myndigheter måste tillämpa patchar senast den 12 augusti enligt bindande operativa direktiv 22-01. CISA uppmanade också alla nätverksförsvarare, inte bara de i den offentliga sektorn, att prioritera patchning och varnade för att angripare vanligtvis använder sårbarheter som denna för att bryta mot system.
Apples snabba svar visar hur nära sammankopplade säkerhetsrisker har blivit över plattformar. Företaget noterade att det inte avslöjar eller diskuterar sårbarheter förrän efter att patchar har släppts. Detta hjälper till att minska möjligheterna för angripare. Dessa senaste uppdateringar är en del av Apples bredare strävan att låsa sitt ekosystem, särskilt eftersom WebKit delas mellan iOS, iPadOS och macOS.
Användare bör installera dessa uppdateringar så snart som möjligt och se till att Chrome också är uppdaterad. Utöver detta rekommenderar säkerhetsexperter grunderna: var försiktig med var du klickar, håll dig till pålitliga webbplatser och håll all din programvara aktuell. Med fem andra nolldagar redan korrigerade av Apple i år, inklusive kritiska brister från januari till april, är det tydligt att dessa inte bara är teoretiska hot längre. Att hålla sig uppdaterad är inte bara bra praxis. Det är viktigt.
(viaPipande dator)