Во вторник компания Apple выпустила пакеты обновлений безопасности для всех своих ключевых программных платформ. Целью обновлений стало устранение уязвимости, которая ранее была обнаружена Google и подтверждена как активно эксплуатируемая угроза «нулевого дня» в браузере Chrome.
Критическая уязвимость получила идентификатор CVE-2025-6558 и оценку 8.8 по шкале CVSS. Технически она описывается как некорректная проверка ненадежных входных данных в коде с открытым исходным кодом. Проблема затрагивает различные компоненты в продуктах разных компаний.
Уязвимость была обнаружена и сообщена специалистами Клеманом Лесинем и Владом Столяровым из группы анализа угроз Google (Threat Analysis Group, TAG). Их работа позволила выявить угрозу, которая затрагивала не только экосистему Google, но и продукты Apple.
Ранее в этом месяце Google подтвердила, что уязвимость активно используется злоумышленниками в реальных условиях против пользователей браузера Chrome. В официальном заявлении компании говорилось, что «эксплойт для CVE-2025-6558 существует в реальных условиях». В браузере Google уязвимость затрагивает компоненты ANGLE и GPU.
Эксплуатация CVE-2025-6558 в Google Chrome может привести к «выходу из песочницы» — одному из самых опасных сценариев, позволяющему вредоносному коду обойти защитные механизмы браузера и получить доступ к системе. Атака осуществляется с помощью специально подготовленной HTML-страницы.
В экосистеме Apple данная уязвимость затрагивает браузерный движок WebKit, на котором работает браузер Safari. Как и в случае с Chrome, для эксплуатации требуется, чтобы пользователь посетил «вредоносно созданный веб-контент».
Несмотря на активную эксплуатацию уязвимости против пользователей Chrome, Apple заявляет об отсутствии свидетельств атак на своих клиентов. Согласно официальному бюллетеню безопасности, «нет доказательств того, что уязвимость использовалась для атак на пользователей устройств Apple». На устройствах Apple успешная эксплуатация может привести к «неожиданному сбою Safari».
Для устранения угрозы были выпущены обновления iOS 18.6 и iPadOS 18.6. Они предназначены для iPhone XS и новее, iPad Pro 13-дюймовый, iPad Pro 12.9-дюймовый 3-го поколения и новее, iPad Pro 11-дюймовый 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее.
Владельцы более старых моделей планшетов также получили обновление. Выпуск iPadOS 17.7.9 обеспечивает защиту для iPad Pro 12.9-дюймового 2-го поколения, iPad Pro 10.5-дюймового и iPad 6-го поколения.
Обновления затронули и другие платформы. Для компьютеров Mac выпущена macOS Sequoia 15.6. Для телевизионных приставок — tvOS 18.6, совместимая с Apple TV HD и всеми моделями Apple TV 4K.
Владельцам умных часов необходимо установить watchOS 11.6, которая предназначена для Apple Watch Series 6 и более новых моделей. Пользователи гарнитуры смешанной реальности получили обновление visionOS 2.6 для Apple Vision Pro.
Своевременное обновление программного обеспечения до последних версий является лучшей практикой для всех пользователей, обеспечивающей оптимальную защиту от известных угроз, даже при отсутствии прямых свидетельств целевых атак.
Изображение носит иллюстративный характер
Критическая уязвимость получила идентификатор CVE-2025-6558 и оценку 8.8 по шкале CVSS. Технически она описывается как некорректная проверка ненадежных входных данных в коде с открытым исходным кодом. Проблема затрагивает различные компоненты в продуктах разных компаний.
Уязвимость была обнаружена и сообщена специалистами Клеманом Лесинем и Владом Столяровым из группы анализа угроз Google (Threat Analysis Group, TAG). Их работа позволила выявить угрозу, которая затрагивала не только экосистему Google, но и продукты Apple.
Ранее в этом месяце Google подтвердила, что уязвимость активно используется злоумышленниками в реальных условиях против пользователей браузера Chrome. В официальном заявлении компании говорилось, что «эксплойт для CVE-2025-6558 существует в реальных условиях». В браузере Google уязвимость затрагивает компоненты ANGLE и GPU.
Эксплуатация CVE-2025-6558 в Google Chrome может привести к «выходу из песочницы» — одному из самых опасных сценариев, позволяющему вредоносному коду обойти защитные механизмы браузера и получить доступ к системе. Атака осуществляется с помощью специально подготовленной HTML-страницы.
В экосистеме Apple данная уязвимость затрагивает браузерный движок WebKit, на котором работает браузер Safari. Как и в случае с Chrome, для эксплуатации требуется, чтобы пользователь посетил «вредоносно созданный веб-контент».
Несмотря на активную эксплуатацию уязвимости против пользователей Chrome, Apple заявляет об отсутствии свидетельств атак на своих клиентов. Согласно официальному бюллетеню безопасности, «нет доказательств того, что уязвимость использовалась для атак на пользователей устройств Apple». На устройствах Apple успешная эксплуатация может привести к «неожиданному сбою Safari».
Для устранения угрозы были выпущены обновления iOS 18.6 и iPadOS 18.6. Они предназначены для iPhone XS и новее, iPad Pro 13-дюймовый, iPad Pro 12.9-дюймовый 3-го поколения и новее, iPad Pro 11-дюймовый 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее.
Владельцы более старых моделей планшетов также получили обновление. Выпуск iPadOS 17.7.9 обеспечивает защиту для iPad Pro 12.9-дюймового 2-го поколения, iPad Pro 10.5-дюймового и iPad 6-го поколения.
Обновления затронули и другие платформы. Для компьютеров Mac выпущена macOS Sequoia 15.6. Для телевизионных приставок — tvOS 18.6, совместимая с Apple TV HD и всеми моделями Apple TV 4K.
Владельцам умных часов необходимо установить watchOS 11.6, которая предназначена для Apple Watch Series 6 и более новых моделей. Пользователи гарнитуры смешанной реальности получили обновление visionOS 2.6 для Apple Vision Pro.
Своевременное обновление программного обеспечения до последних версий является лучшей практикой для всех пользователей, обеспечивающей оптимальную защиту от известных угроз, даже при отсутствии прямых свидетельств целевых атак.
