苹果紧急修复影响Safari的零日漏洞攻击

漏洞概况

苹果公司近日发布安全更新，修复了一个已被用于针对Google Chrome用户的零日攻击的高危漏洞（编号CVE-2025-6558，CVSS评分为8.8）。该漏洞存在于Chrome 138.0.7204.157之前版本的ANGLE和GPU组件中，涉及对不可信输入的验证不足问题，远程攻击者可能通过精心构造的HTML页面实现沙箱逃逸。

ANGLE（Almost Native Graphics Layer Engine）是谷歌开发的开源图形引擎，作为OpenGL ES与Direct3D、Vulkan和Metal等其他图形API之间的兼容层。

漏洞披露与影响

谷歌威胁分析小组（Threat Analysis Group）的研究员Clément Lecigne和Vlad Stolyarov于2025年6月23日报告了该漏洞。美国网络安全和基础设施安全局（CISA）本周已将该漏洞列入其已知被利用漏洞（KEV）目录。

谷歌在公告中表示："我们已确认CVE-2025-6558漏洞的利用代码在野出现。"苹果公司则说明："这是开源代码中的漏洞，苹果软件是受影响项目之一。该CVE编号由第三方分配。"苹果警告称，处理恶意制作的网页内容可能导致Safari浏览器意外崩溃。

受影响产品及更新

苹果已针对以下产品发布WebKit安全更新修复该漏洞：

• iOS 18.6和iPadOS 18.6：iPhone XS及后续机型；iPad Pro 13英寸全系；12.9英寸iPad Pro（第三代及后续）；11英寸iPad Pro（第一代及后续）；iPad Air（第三代及后续）；iPad（第七代及后续）；iPad mini（第五代及后续）
• macOS Sequoia 15.6：运行该系统的所有Mac设备
• iPadOS 17.7.9：12.9英寸iPad Pro（第二代）、10.5英寸iPad Pro和iPad（第六代）
• visionOS 2.6：Apple Vision Pro设备
• watchOS 11.6：Apple Watch Series 6及后续机型
• tvOS 18.6：Apple TV HD和Apple TV 4K（所有型号）