近期,谷歌、苹果和微软联合发布了紧急安全补丁,修复了一个正在被恶意利用的关键零日漏洞。该漏洞被标记为CVE-2025-24201,属于GPU上的越界写入漏洞,影响了多个平台和浏览器。苹果的安全工程与架构团队(Apple SEAR)最早在2025年3月5日报告了这一漏洞,并确认该漏洞已被攻击者利用。
01
漏洞详情
CVE-2025-24201是一个严重的越界写入漏洞,影响了在Mac上运行的GPU。该漏洞涉及的范围非常广泛,特别是通过Chromium引擎(谷歌Chrome和微软Edge浏览器的核心)以及苹果的WebKit浏览器引擎,造成了极大的安全风险。
据苹果称,攻击者利用CVE-2025-24201漏洞,使用恶意制作的Web内容触发GPU内存越界写入,突破Web内容沙箱隔离机制,并实现远程代码执行(RCE),这可能会导致敏感数据泄露或设备被完全控制。该公司指出,该漏洞曾在iOS 17.2中得到一定程度的缓解,但攻击者正在努力绕过以前的防御措施。
02
各大厂商紧急响应
为了应对此问题,谷歌已发布了Chrome浏览器的版本134.0.6998.88/.89,适用于Windows和Mac系统,版本134.0.6998.88也适用于Linux。谷歌表示,更新将分阶段推出,用户应尽快更新到最新版本以防止攻击。
微软也在2025年3月11日发布了修复补丁,涵盖了Edge浏览器的更新。Edge浏览器的最新稳定版本134.0.3124.62已集成了Chromium的安全修复,包括针对CVE-2025-24201的修复,确保Edge用户免受此漏洞的威胁,安全浏览。
苹果对漏洞的利用也做出了迅速反应,于2025年3月11日发布了紧急安全更新。与谷歌和微软的Chromium特定补丁不同,苹果的响应相对更为广泛,修复内容不仅限于Safari浏览器,还涵盖了macOS、iOS和iPadOS等平台中的WebKit浏览器引擎。
2025年3月11日,苹果发布了多项安全更新:
• iOS版18.3.2
• iPad作系统18.3.2
• macOS红杉15.3.2
• visionOS2.3.2版本
• Safari浏览器18.3.1
苹果尚未提供有关利用此漏洞的具体威胁行为者的详细信息,但其安全咨询强调,这些攻击“极其复杂”,并且针对特定的高价值个人或组织。
03
网络安全专家建议
鉴于该漏洞的严重性及其积极利用,网络安全和基础设施安全局(CISA)已将CVE-2025-24201添加到其已知被利用的漏洞目录中。CISA还特别强调,鉴于漏洞已被活跃利用,所有受影响的用户和组织应优先完成更新,以避免进一步的安全风险。
网络安全专家强烈建议所有用户和组织:
立即更新浏览器
确保谷歌Chrome和微软Edge浏览器已更新至最新版本。
更新安全补丁
在所有受影响的macOS、iOS和iPadOS设备上应用苹果发布的最新安全补丁。
监控异常活动
加强对浏览环境中潜在威胁的监控,警惕任何异常行为。
遵循CISA指导
遵循CISA的指导,在4月3日截止日期之前更新易受攻击的系统。
CVE-2025-24201漏洞的发现和修复反映了现代网络安全环境的复杂性和多变性。随着恶意攻击手段的不断升级,厂商和安全机构的快速响应显得尤为重要。用户和组织必须及时应用相关安全更新,以降低漏洞利用的风险,确保设备和数据的安全。
内容来源:
https://securityonline.info/google-apple-and-microsoft-rush-to-patch-actively-exploited-zero-day-vulnerability/
推荐阅读
|
01 |
|
02 |
|
03 |
安全KER
安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。
注册安全KER社区
链接最新“圈子”动态
原文始发于微信公众号(安全客):紧急补丁发布:谷歌、苹果、微软联合应对高危零日漏洞 CVE-2025-24201
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论