WhatsApp近期修复了其iOS和macOS应用中的一项安全漏洞（CVE-2025-55177），该漏洞允许攻击者在不与用户交互的情况下，触发目标设备处理任意URL内容。此漏洞与苹果披露的ImageIO越界写入漏洞（CVE-2025-43300）结合，可能构成复杂的“零点击”攻击，针对特定目标个人。WhatsApp已通知部分用户可能遭受了此类攻击，并建议更新系统和应用、进行设备重置以加强防护。此次攻击影响范围涉及iPhone和安卓用户，尤其对记者和人权捍卫者构成威胁。

🛡️ **WhatsApp修复关键安全漏洞**：WhatsApp已针对其iOS和macOS应用中的CVE-2025-55177漏洞进行了修复。该漏洞最初由WhatsApp安全团队发现，其CVSS评分为8.0（CISA-ADP）和5.4（Facebook），源于对关联设备同步消息的授权不足，可能导致无关用户触发目标设备处理任意URL内容。

💥 **“零点击”攻击风险**：WhatsApp评估认为，CVE-2025-55177漏洞可与苹果披露的CVE-2025-43300漏洞（ImageIO框架中的越界写入漏洞）结合使用，对特定目标用户发动复杂的“零点击”攻击。这种攻击方式无需用户进行任何交互，即可入侵设备，对用户隐私和安全构成严重威胁。

🚨 **受影响版本与攻击警示**：受影响的WhatsApp版本包括iOS版2.25.21.73之前的版本，iOS版WhatsApp Business 2.25.21.78版本，以及Mac版WhatsApp 2.25.21.78版本。WhatsApp已通知部分用户在过去90天内可能遭受了使用CVE-2025-55177的高级间谍软件攻击，并建议用户更新操作系统和WhatsApp应用，并进行设备出厂重置以获得最佳保护。

看雪学苑 2025-09-01 18:00 上海

WhatsApp 曝零点击漏洞，iOS 和 macOS 设备受威胁

近日，WhatsApp 针对其苹果 iOS 和 macOS 版消息应用中的安全漏洞进行了修复。该漏洞曾可能被利用，与苹果近期披露的漏洞结合，实施有针对性的零日攻击。

此次被修复的漏洞编号为 CVE-2025-55177，其 CVSS 评分分别为 8.0（CISA-ADP）和 5.4（Facebook）。该漏洞源于对关联设备同步消息的授权不足。WhatsApp 安全团队的内部研究人员发现并重新评估了此漏洞。

Meta 旗下的 WhatsApp 公司表示，此问题“可能允许无关用户触发目标设备对任意 URL 内容的处理”。

受影响的版本如下：

iOS 版 WhatsApp 2.25.21.73 之前的版本（已于2025年7月28日修复）

iOS 版 WhatsApp Business 2.25.21.78 版本（已于2025年8月4日修复）

Mac 版 WhatsApp 2.25.21.78 版本（已于2025年8月4日修复）

WhatsApp 还评估认为，该漏洞可能与 CVE-2025-43300 漏洞结合使用，对特定目标用户发动复杂攻击。CVE-2025-43300 是影响 iOS、iPadOS 和 macOS 的漏洞，苹果上周披露称，该漏洞已被用于“针对特定目标个人的极其复杂的攻击”。此漏洞是 ImageIO 框架中的越界写入漏洞，处理恶意图像时可能导致内存损坏。

国际特赦组织安全实验室负责人 Donncha Ó Cearbhaill 称，WhatsApp 已通知部分个人，认为他们在过去 90 天内曾遭受使用 CVE-2025-55177 的高级间谍软件攻击，但具体人数未透露。在发给目标个人的警报中，WhatsApp 还建议进行完整的设备出厂重置，并保持操作系统和 WhatsApp 应用更新以获得最佳保护。目前尚不清楚谁或哪个间谍软件供应商是这些攻击的幕后黑手。

Ó Cearbhaill 将这两个漏洞描述为“零点击”攻击，即无需用户进行任何交互（如点击链接）即可入侵其设备。他表示：“早期迹象表明，WhatsApp 攻击正影响 iPhone 和安卓用户，其中包括民间社会人士。政府间谍软件继续对记者和人权捍卫者构成威胁。”

资讯来源：cybersecuritynews

转载请注明出处和本文链接

阅读原文

跳转微信打开