Apple rilascia una fix per una vulnerabilità di Safari già sfruttata in Chrome
苹果修复WebKit零日漏洞CVE-2025-6558,该漏洞源于Google开源组件ANGLE和GPU的输入验证错误,可被用于远程沙盒逃逸攻击。Safari和Chrome均受影响,可能导致浏览器崩溃。建议用户尽快更新至最新版本以修复此安全问题。 2025-7-30 14:0:45 Author: www.securityinfo.it(查看原文) 阅读量:6 收藏

Lug 30, 2025 In evidenza, News, RSS, Vulnerabilità

Martedì Apple ha rilasciato una fix che risolve una vulnerabilità 0-day presente in WebKit, il motore di rendering usato in Safari, già nota e sfruttata in Chrome in almeno un attacco.

Il bug, tracciato come CVE-2025-6558, risiede nei componenti open-source ANGLE e GPU di Google ed è causata da una validazione errata dell’input. Stando alla descrizione fornita, la vulnerabilità consente a un attaccante di eseguire un sandbox escape da remoto utilizzando una pagina HTML creata ad hoc.

vulnerabilità Safari

Poiché WebKit utilizza i componenti open-source di Google, anche Safari è colpito dalla vulnerabilità. Google ha affermato di essere a conoscenza di un exploit che ha sfruttato il bug, ma non ha reso noto alcun dettaglio in merito. Il comunicato di Apple non accenna invece a potenziali exploit.

Nel caso di Safari, lo sfruttamento della vulnerabilità può portare al crash di Safari. Apple non ha condiviso altri dettagli.

La patch è disponibile in iOS 18.6 e iPadOS 18.6 per iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici di terza generazione e successive, iPad Pro da 11″ di prima generazoine e successive, iPad Air di terza generazione e successive, iPad di settima generazione e successive e iPad mini di quinta generazione e successive.

Il fix è inoltre presente in iPadOS 17.7.9 per iPad Pro da 12.9 pollici di seconda generazione, iPad Pro da 10.5 pollici e iPad di sesta generazione; macOS Sequoia 15.6; in tvOS 18.6 per Apple TV HD e Apple TV 4K (tutti i modelli); in watchOS 11.6 per Apple Watch Series 6 e successivi e in visionOS 2.6 per Apple Vision Pro. Per quanto riguarda Chrome, la patch è disponibile nella versione 138.0.7204.157 del browser.

Anche lo scorso marzo Apple aveva avuto a che fare con una vulnerabilità 0-day in WebKit: la CVE-2025-24201, un problema di scrittura out-of-bound, permetteva a un attaccante di sfruttare un contenuto web creato ad hoc per uscire dalla sandbox del browser.

È consigliato aggiornare il prima possibile i prodotti vulnerabili.

Altro in questa categoria

文章来源: https://www.securityinfo.it/2025/07/30/apple-rilascia-una-fix-per-una-vulnerabilita-di-safari-gia-sfruttata-in-chrome/
如有侵权请联系:admin#unsafe.sh