【安全资讯】苹果紧急修复Chrome零日攻击中被利用的高危漏洞

概要：

苹果公司近日紧急发布安全更新，修复了一个被用于针对Google Chrome用户的零日攻击的高危漏洞。该漏洞编号为CVE-2025-6558，存在于ANGLE开源图形抽象层中，可能导致远程攻击者通过特制HTML页面在浏览器GPU进程中执行任意代码，甚至突破沙箱隔离。这一漏洞已被美国网络安全和基础设施安全局(CISA)列入已知被利用漏洞目录，要求联邦机构限期修复。

主要内容：

该漏洞源于ANGLE(Almost Native Graphics Layer Engine)开源图形抽象层中对不可信输入的错误验证。ANGLE负责处理GPU命令并将OpenGL ES API调用转换为Direct3D、Metal、Vulkan和OpenGL等图形API。攻击者可利用特制HTML页面在浏览器GPU进程中执行任意代码，并可能突破沙箱隔离机制，获取更高系统权限。

Google威胁分析小组(TAG)的安全专家Vlad Stolyarov和Clément Lecigne于6月发现了该漏洞，并于7月15日由Chrome团队完成修复。虽然Google尚未披露攻击细节，但TAG经常发现政府支持的黑客组织利用零日漏洞针对高风险人群(如异议人士、反对党政客和记者)部署间谍软件。

苹果已为多款设备发布WebKit安全更新，包括iOS 18.6、iPadOS 18.6、macOS Sequoia 15.6等。成功利用该漏洞可能导致Safari浏览器意外崩溃。CISA已要求联邦机构在8月12日前完成修复，并建议所有网络防御者优先修补此漏洞。

这是苹果今年修复的第六个零日漏洞，凸显了现代浏览器安全面临的持续挑战。此类漏洞常被恶意网络行为者用作攻击媒介，对企业和政府机构构成重大风险。