WhatsApp 修复了针对 iOS 和 macOS 设备的零点击漏洞

WhatsApp 已修复其适用于 Apple iOS 和 macOS 的消息应用程序中的一个安全漏洞，该公司表示该漏洞可能与最近披露的 Apple 缺陷一起在有针对性的零日攻击中被利用。

该漏洞编号为CVE-2025-55177（CVSS 评分：8.0 [CISA-ADP]/5.4 [Facebook]），与关联设备同步消息授权不足有关。WhatsApp 安全团队的内部研究人员已发现并重新评估了该漏洞。

这家 Meta 旗下的公司表示，该问题“可能允许无关用户触发目标设备上任意 URL 的内容处理”。

网络安全
该缺陷影响以下版本 -

iOS 版 WhatsApp 2.25.21.73 之前的版本（2025 年 7 月 28 日修复）
WhatsApp Business for iOS 版本 2.25.21.78（2025 年 8 月 4 日修复），以及
WhatsApp for Mac 版本 2.25.21.78（2025 年 8 月 4 日修复）
它还评估说，该缺陷可能与影响 iOS、iPadOS 和 macOS 的漏洞 CVE-2025-43300 相关联，是针对特定目标用户的复杂攻击的一部分。

苹果公司上周披露，CVE-2025-43300已被用于“针对特定目标个人的极其复杂的攻击”。

该漏洞是 ImageIO 框架中的越界写入漏洞，在处理恶意图像时可能导致内存损坏。

国际特赦组织安全实验室负责人 Donncha Ó Cearbhaill 表示，WhatsApp 已通知未指定数量的个人，他们认为这些个人在过去 90 天内成为了使用 CVE-2025-55177 的高级间谍软件活动的目标。

在发送给目标用户的警报中，WhatsApp 还建议将设备完全恢复出厂设置，并保持操作系统和 WhatsApp 应用程序为最新版本，以获得最佳保护。目前尚不清楚此次攻击的幕后黑手是谁，以及是哪个间谍软件供应商。

身份安全风险评估
Ó Cearbhaill 将这对漏洞描述为“零点击”攻击，这意味着它不需要任何用户交互（例如点击链接）即可危害他们的设备。

“初步迹象表明，WhatsApp 攻击正在影响 iPhone 和 Android 用户，其中包括民间社会人士，”Ó Cearbhaill表示。“政府间谍软件持续对记者和人权捍卫者构成威胁。”

更新#
WhatsApp 在与 The Hacker News 分享的一份声明中表示，它向不到 200 名可能成为此次攻击目标的用户发送了应用内威胁通知。

（该报道在发表后进行了更新，澄清已于 2025 年 7 月下旬/8 月发布了针对该漏洞的补丁。）