Sió-Informatika Rendszerház

HÍREK

Apple javította a Chrome-on keresztül kihasznált súlyos biztonsági hibát (CVE-2025-6558)

Apple

Az Apple biztonsági frissítést adott ki egy súlyos sebezhetőségre, amelyet aktívan kihasználtak zero-day támadásokban Google Chrome felhasználók ellen. A hibát a Google Threat Analysis Group (TAG) kutatói, Vlad Stolyarov és Clément Lecigne fedezték fel júniusban, és CVE-2025-6558 azonosítóval regisztrálták.

🔍 Mi a hiba lényege?

A sebezhetőség az ANGLE (Almost Native Graphics Layer Engine) grafikus motorban található, amely nyílt forráskódú és OpenGL ES API hívásokat fordít át Direct3D, Metal, Vulkan vagy OpenGL utasításokká. Hibás bemeneti ellenőrzés miatt lehetőség nyílt tetszőleges kód végrehajtására, speciálisan kialakított HTML oldalakkal.

Ennek eredményeként a támadók akár:

  • kiléphettek a böngésző sandbox környezetéből,
  • hozzáférhettek az operációs rendszerhez,
  • instabilitást, összeomlást vagy adatlopást okozhattak.

🛡️ Kik érintettek és hogyan reagált az Apple?

Bár a hibát a Chrome-ban fedezték fel, az open-source eredet miatt több projektet is érint, köztük az Apple saját szoftvereit is.

🔐 Frissítések megjelentek:

  • iOS 18.6 / iPadOS 18.6 – iPhone XS és újabb modellek, iPad Pro / Air / mini
  • macOS Sequoia 15.6
  • iPadOS 17.7.9 – régebbi iPad Pro és iPad 6. generáció
  • tvOS 18.6
  • visionOS 2.6 – Apple Vision Pro
  • watchOS 11.6 – Apple Watch 6 és újabb

A sikeres kihasználás Safari összeomlásokat és potenciális rendszerhozzáférést eredményezhetett.

🏛️ CISA figyelmeztetés és kötelező javítás

Az amerikai CISA (Cybersecurity and Infrastructure Security Agency) a CVE-2025-6558 hibát felvette a “Known Exploited Vulnerabilities” (KEV) listájára, és kötelezővé tette a javítás telepítését 2025. augusztus 12-ig a szövetségi rendszerekre vonatkozóan (Binding Operational Directive 22-01).

⚠️ A CISA minden szervezetet arra buzdít, hogy azonnal alkalmazzák a javítást, mivel ez a típusú hiba gyakran válik államilag támogatott fenyegető csoportok célpontjává.

📆 Korábbi Apple zero-day javítások 2025-ben

  • ✅ Január – CVE-2025-24085
  • ✅ Február – CVE-2025-24200
  • ✅ Március – CVE-2025-24201
  • ✅ Április – CVE-2025-31200, CVE-2025-31201
  • ✅ Július – CVE-2025-6558

🔐 Védekezési javaslatok:

  1. Telepítsd az elérhető frissítéseket minden Apple eszközre.
  2. Kerüld a nem megbízható weboldalak látogatását, amíg minden eszköz frissítve nincs.
  3. Monitorozd a rendszeres CISA figyelmeztetéseket és CVE jelentéseket.
  4. IT-csapatok számára ajánlott az ANGLE használatú komponensek auditálása más rendszerekben is (pl. Electron, játékplatformok).

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!