谷歌、苹果和微软紧急修复被广泛利用的0day

为了缓解一个被积极利用的安全漏洞，Google、Apple 和 Microsoft 联合发布了针对 CVE-2025-24201 严重零日漏洞的紧急补丁。该漏洞是 Mac 上 GPU 中的越界写入漏洞，由 Apple 安全工程和架构 (SEAR) 于 2025 年 3 月 5 日报告，此后已被广泛利用。

谷歌最初于 2025 年 3 月 10 日在安全公告中披露了该漏洞，确认 CVE-2025-24201 的漏洞已在流传。该漏洞影响 Chromium 引擎，该引擎为 Google Chrome 和 Microsoft Edge 等浏览器提供支持。

为解决该问题，Google 已在适用于 Windows 和 Mac 的 Chrome 版本 134.0.6998.88/.89 和适用于 Linux 的版本 134.0.6998.88 中发布了补丁。此更新将在未来几天和几周内推出。

紧随谷歌之后，微软于 2025 年 3 月 11 日发布了Edge 更新，最新的 Edge 稳定频道（版本 134.0.3124.62）集成了 Chromium 的安全更新，包括对 CVE-2025-24201 的修复。

苹果公司对该漏洞的利用做出了迅速反应，于 2025 年 3 月 11 日发布了紧急安全更新。与谷歌和微软针对 Chromium 的补丁不同，苹果的修复范围不仅限于 Safari，还涵盖了 WebKit 浏览器引擎——macOS、iOS 和其他苹果生态系统的核心组件。

据苹果称，攻击者利用CVE-2025-24201 漏洞，使用恶意制作的 Web 内容突破 Web 内容沙盒。该公司指出，这是对最初在 iOS 17.2 中缓解的攻击的补充修复，表明威胁行为者正在努力绕过先前的防御措施。

Apple 现已在以下软件更新中修复了此漏洞：

• iOS 18.3.2
• iPadOS 18.3.2
• macOS Sequoia 15.3.2
• visionOS 2.3.2
• Safari 18.3.1

苹果尚未提供利用此漏洞的具体威胁行为者的详细信息，但其安全公告强调，这些攻击“极其复杂”且针对特定个人。

鉴于该漏洞的严重性及其被积极利用的情况，网络安全和基础设施安全局 (CISA) 已将CVE-2025-24201添加到其已知被利用漏洞目录中。CISA 已发布指令，建议各组织在 2025 年 4 月 3 日之前应用必要的安全更新，以防止进一步利用。

网络安全专家强烈建议所有用户和组织：

• 立即将 Google Chrome 和 Microsoft Edge 更新到最新版本。
• 在所有受影响的 macOS、iOS 和 iPadOS 设备上应用 Apple 的安全补丁。
• 监控其网络浏览环境中的任何异常活动。
• 在 4 月 3 日截止日期之前更新易受攻击的系统。