Appleは最近、iOS 18.6、iPados 18.6、Macos Sequoia 15.6、Watchos 11.6、TVOS 11.6、およびVisionos 2.6を展開し、Google Chromeユーザーをターゲットにした攻撃で積極的に活用された深刻なゼロデイの脆弱性、CVE-2025-6558に対処しました。
この問題は角度にあります。これは、GPUコマンドをプラットフォーム間で変換するために使用されるオープンソースグラフィックス抽象化レイヤーです。攻撃者は、この欠陥を悪用するために悪意のあるHTMLページを作成し、任意のコードを実行し、Chromeのサンドボックス環境から脱出する可能性があります。 Googleは、脅威分析グループ(研究者Vlad StolyarovとClémentLecigne)が6月に野生で搾取されているとフラグを立てた後、7月15日にバグにパッチを当てました。
脆弱性はもともとChromeに関連付けられていましたが、AppleはSafariやその他のAppleソフトウェアを駆動する独自のWebKitブラウザエンジンも同じオープンソースコンポーネントに依存しているため、更新を発行しました。 Safariの影響を受けたバージョンでは、欠陥は予期しないクラッシュにつながる可能性があります。 Safariユーザーに対して積極的な搾取は報告されていませんが、Appleは攻撃ベクトルの可能性を閉じるために急速に移動しました。これには、iOS 18.6、iPados 18.6、Macos Sequoia 15.6、iPados 17.7.9の古いiPad、Watchos 11.6、TVOS 18.6、およびVisionos 2.6のパッチが含まれます。
米国のサイバーセキュリティおよびインフラストラクチャセキュリティ局(CISA)は、7月22日に既知の搾取された脆弱性のリストにCVE-2025-6558を追加しました。連邦政府機関は、8月12日までに拘束力のある運用指令22-01に基づいてパッチを適用する必要があります。また、CISAは、公共部門のすべてのネットワークディフェンダーだけでなく、パッチングに優先順位を付けるよう促し、攻撃者が一般的にこのような脆弱性を使用してシステムを侵害することを警告しました。
Appleのクイックレスポンスは、プラットフォーム全体でセキュリティリスクがどのように密接に関連しているかを強調しています。同社は、パッチがリリースされるまで脆弱性を開示または議論しないことに留意した。これは、攻撃者の機会の窓を減らすのに役立ちます。これらの最新のアップデートは、特にiOS、iPados、およびMacOで共有されているため、Appleのエコシステムをロックダウンするためのより広範なプッシュの一部です。
ユーザーはこれらの更新をできるだけ早くインストールし、Chromeも最新の状態であることを確認する必要があります。これに加えて、セキュリティの専門家は基本を推奨しています。クリックする場所について慎重に保ち、信頼できるWebサイトに固執し、すべてのソフトウェアを最新の状態に保ちます。 1月から4月までの重大な欠陥を含む、今年はすでにAppleによってパッチが適用されている他の5つのゼロデイで、これらが理論的な脅威だけではないことは明らかです。更新されたままでいるだけでは、単なる練習ではありません。それは不可欠です。
(経由ブリーディングコンピュータ))