Apple hat kürzlich iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, watchOS 11.6, tvOS 11.6 und visionOS 2.6 eingeführt, um eine schwerwiegende Zero-Day-Schwachstelle, CVE-2025-6558, zu schließen, die aktiv bei Angriffen auf Google Chrome-Benutzer ausgenutzt wurde.
Das Problem liegt in ANGLE, der Open-Source-Grafikabstraktionsschicht, die zur plattformübergreifenden Übersetzung von GPU-Befehlen verwendet wird. Angreifer könnten bösartige HTML-Seiten erstellen, um diese Schwachstelle auszunutzen und so beliebigen Code auszuführen und möglicherweise aus der Sandbox-Umgebung von Chrome auszubrechen. Google hat den Fehler am 15. Juli behoben, nachdem seine Threat Analysis Group – die Forscher Vlad Stolyarov und Clément Lecigne – ihn im Juni als ausgenutzt gemeldet hatte.
Während die Sicherheitslücke ursprünglich mit Chrome in Verbindung gebracht wurde, hat Apple Updates herausgegeben, da seine eigene WebKit-Browser-Engine, die Safari und andere Apple-Software unterstützt, ebenfalls auf denselben Open-Source-Komponenten basiert. In betroffenen Safari-Versionen könnte der Fehler zu unerwarteten Abstürzen führen. Obwohl keine aktiven Angriffe auf Safari-Benutzer gemeldet wurden, hat Apple schnell reagiert und alle möglichen Angriffsvektoren abgeschaltet. Dazu gehören Patches in iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, iPadOS 17.7.9 für ältere iPads, watchOS 11.6, tvOS 18.6 und visionOS 2.6.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2025-6558 am 22. Juli in ihre Liste bekannter ausgenutzter Schwachstellen aufgenommen. Bundesbehörden sind gemäß der Binding Operational Directive 22-01 verpflichtet, bis zum 12. August Patches einzuspielen. CISA forderte außerdem alle Netzwerkverteidiger, nicht nur diejenigen im öffentlichen Sektor, dazu auf, dem Patching Vorrang einzuräumen, und warnte davor, dass Angreifer Schwachstellen wie diese häufig ausnutzen, um in Systeme einzudringen.
Die schnelle Reaktion von Apple verdeutlicht, wie eng Sicherheitsrisiken plattformübergreifend miteinander verbunden sind. Das Unternehmen gab an, dass es Schwachstellen erst nach Veröffentlichung der Patches offenlegt oder bespricht. Dies trägt dazu bei, das Zeitfenster für Angreifer zu verkleinern. Diese neuesten Updates sind Teil der umfassenderen Bemühungen von Apple, sein Ökosystem abzuriegeln, insbesondere da WebKit von iOS, iPadOS und macOS gemeinsam genutzt wird.
Empfohlene Lektüre:Android 16: Erweiterter Schutz verhindert USB-basierte Angriffe
Nutzer sollten diese Updates schnellstmöglich installieren und sicherstellen, dass auch Chrome auf dem neuesten Stand ist. Darüber hinaus empfehlen Sicherheitsexperten Folgendes: Seien Sie vorsichtig, wo Sie klicken, bleiben Sie auf vertrauenswürdigen Websites und halten Sie Ihre gesamte Software auf dem neuesten Stand. Angesichts der Tatsache, dass Apple in diesem Jahr bereits fünf weitere Zero-Day-Patches behoben hat, darunter kritische Schwachstellen von Januar bis April, ist klar, dass es sich hierbei nicht mehr nur um theoretische Bedrohungen handelt. Auf dem Laufenden zu bleiben ist nicht nur eine gute Übung. Es ist wichtig.
(überPiepender Computer)