WhatsApp 已修复其苹果 iOS 和 macOS 系统 messaging 应用中的一个安全漏洞。该公司表示,在近期披露的一起苹果漏洞相关定向零日攻击中,该漏洞可能已被实际利用。
该漏洞的编号为 CVE-2025-55177(CVSS 评分:8.0),问题在于关联设备同步消息的授权机制不完善。WhatsApp 安全团队的内部研究人员发现了该漏洞,并对其风险等级进行了重新评估,相关贡献已得到认可。
这家由 Meta(原 Facebook)旗下的公司指出,该漏洞 “可能允许无关用户在目标设备上触发对任意 URL 内容的处理”。
该漏洞影响以下版本的应用:
- iOS 版 WhatsApp:2.25.21.73 之前的版本
- iOS 版 WhatsApp Business(WhatsApp 商业版):2.25.21.78 版本
- Mac 版 WhatsApp:2.25.21.78 版本
WhatsApp 还评估认为,这一缺陷可能与 CVE-2025-43300 漏洞(影响 iOS、iPadOS 和 macOS 系统)被结合利用,成为针对特定目标用户的复杂攻击的一部分。
苹果公司上周披露,CVE-2025-43300 漏洞已被武器化,用于 “针对特定个人的极为复杂的攻击”。该漏洞是 ImageIO 框架中的一个越界写入漏洞,处理恶意图像时可能导致内存损坏。
国际特赦组织安全实验室负责人唐查・奥克亚尔(Donncha Ó Cearbhaill)表示,WhatsApp 已通知了数量未公开的用户,告知他们在过去 90 天内,可能成为利用 CVE-2025-55177 漏洞的高级间谍软件攻击目标。
在发送给目标用户的警报中,WhatsApp 还建议用户对设备进行全面出厂重置,并保持操作系统和 WhatsApp 应用为最新版本,以获得最佳保护。目前尚不清楚此次攻击的发起者是谁,也不知道背后涉及哪家间谍软件供应商。
奥克亚尔将这两个漏洞的组合攻击描述为 “零点击” 攻击,即无需用户进行任何交互(如点击链接),就能攻陷目标设备。
“初步迹象显示,此次 WhatsApp 攻击同时影响 iPhone 和安卓用户,其中包括公民社会人士,” 奥克亚尔表示,“政府间谍软件对记者和人权捍卫者的威胁仍在持续。”
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
