A Apple lançou atualizações de segurança para resolver uma vulnerabilidade de alta gravidade que foi explorada em ataques de dia zero direcionados aos usuários do Google Chrome.
Rastreado como CVE-2025-6558, o bug de segurança é devido à validação incorreta de entrada não confiável na camada de abstração gráfica de código aberto ANGLE (Almost Native Graphics Layer Engine), que processa comandos de GPU e converte chamadas de API OpenGL ES para Direct3D, Metal, Vulkan e OpenGL.
A vulnerabilidade permite que invasores remotos executem código arbitrário no processo de GPU do navegador por meio de páginas HTML especialmente criadas, potencialmente permitindo que eles escapem da sandbox que isola os processos do navegador do sistema operacional subjacente.
Vlad Stolyarov e Clément Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, uma equipe de especialistas em segurança dedicada a defender os clientes do Google contra ataques patrocinados pelo Estado, descobriram o CVE-2025-6558 em junho e o relataram à equipe do Google Chrome, que corrigi em 15 de julho e o marcou como ativamente explorado em ataques.
Embora o Google ainda não tenha fornecido mais informações sobre esses ataques, o Google TAG frequentemente descobre falhas de dia zero exploradas por agentes de ameaças patrocinados pelo governo em campanhas direcionadas destinadas a implantar spyware em dispositivos de indivíduos de alto risco, incluindo dissidentes, políticos da oposição e jornalistas.
Na terça-feira, a Apple lançou atualizações de segurança do WebKit para resolver a vulnerabilidade CVE-2025-6558 para os seguintes softwares e dispositivos:
- iOS 18.6 e iPadOS 18.6: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas de 3ª geração e posterior, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 7ª geração e posterior e iPad mini de 5ª geração e posterior
- macOS Sequoia 15.6: Macs com macOS Sequoia
- iPadOS 17.7.9: iPad Pro de 12,9 polegadas de 2ª geração, iPad Pro de 10,5 polegadas e iPad de 6ª geração
- tvOS 18.6: Apple TV HD e Apple TV 4K (todos os modelos)
- visionOS 2.6: Apple Vision Pro
- watchOS 11.6: Apple Watch Series 6 e posterior
“O processamento de conteúdo da web criado com códigos maliciosos pode levar a uma falha inesperada do Safari”, disse a Apple explicado ao descrever o impacto da exploração bem-sucedida do CVE-2025-6558. “Esta é uma vulnerabilidade no código-fonte aberto e a Apple Software está entre os projetos afetados.”
Em 22 de julho, a Agência de Segurança Cibernética e Infraestrutura (CISA), a agência de defesa cibernética dos EUA, também Adicionado esse bug de segurança para seu Catálogo de vulnerabilidades conhecido por ser explorado em ataques, exigindo que as agências federais corrijam seus softwares até 12 de agosto.
Embora a Diretiva Operacional Vinculativa (BOD) 22-01, que exige que as agências federais protejam seus sistemas, se aplique apenas às agências federais, a CISA aconselhou todos os defensores da rede a priorizar a correção da vulnerabilidade CVE-2025-6558 o mais rápido possível.
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para agentes cibernéticos mal-intencionados e representam riscos significativos para a empresa federal”, alertou a agência de segurança cibernética na semana passada.
A Apple também corrigiu cinco falhas de dia zero exploradas em ataques direcionados desde o início do ano, incluindo um dia zero em janeiro (CVE-2025-24085), um em fevereiro (CVE-2025-24200), um terço em março (CVE-2025-24201) e mais dois em abril (CVE-2025-31200 e CVE-2025-31201).
