摘要：WhatsApp 近期修复了一个针对 Apple iOS 和 macOS 消息应用程序的重大安全漏洞（CVE-2025-55177），该漏洞可能已被实际利用，且与 Apple 公布的零日攻击缺陷相关。该漏洞涉及在链接设备之间同步消息时的授权不足，可能使未经授权

WhatsApp 近期修复了一个针对 Apple iOS 和 macOS 消息应用程序的重大安全漏洞（CVE-2025-55177），该漏洞可能已被实际利用，且与 Apple 公布的零日攻击缺陷相关。该漏洞涉及在链接设备之间同步消息时的授权不足，可能使未经授权的用户处理来自任意 URL 的内容。受影响的版本包括 WhatsApp for iOS、WhatsApp Business for iOS 及 WhatsApp for Mac。WhatsApp 已通知部分在过去 90 天内受到间谍软件攻击的用户，建议他们进行设备重置并保持应用程序更新。安全专家指出，这种“零点击”攻击可能影响 iPhone 和 Android 用户，尤其是民间社会人士。

WhatsApp 已经解决了其针对 Apple iOS 和 macOS 的消息应用程序中的一个重大安全漏洞，该漏洞可能已经在实际中被利用，并与最近 Apple 公开的针对特定目标的零日攻击缺陷有关联。这个漏洞被标识为 CVE-2025-55177（CVSS 得分为 8.0），涉及与链接设备同步消息相关的授权不足。WhatsApp 安全团队的内部研究人员被认为是发现和重新评估该漏洞的功臣。

该问题可能使未经授权的用户能够在目标设备上触发处理来自任意 URL 的内容。此缺陷影响多个版本的应用程序，包括 WhatsApp for iOS 在版本 2.25.21.73 之前，WhatsApp Business for iOS 版本 2.25.21.78，以及 WhatsApp for Mac 版本 2.25.21.78。此外，评估认为这一缺陷可能与 CVE-2025-43300 相关，该漏洞影响 iOS、iPadOS 和 macOS，是针对特定个人的复杂攻击的一部分。

国际特赦组织安全实验室负责人 Donncha Ó Cearbhaill 表示，WhatsApp 已通知一小部分被认为在过去 90 天内受到高级间谍软件活动针对的人，使用了 CVE-2025-55177。在发送给这些个人的警报中，WhatsApp 建议执行完整的设备出厂重置，并确保他们的操作系统和 WhatsApp 应用程序保持最新，以获得最佳保护。目前尚不清楚谁或哪个间谍软件供应商是这些攻击的幕后黑手。Ó Cearbhaill 将这些漏洞描述为“零点击”攻击，这意味着不需要用户交互，例如点击链接，即可危害设备。他指出，初步迹象表明，WhatsApp 的攻击影响了 iPhone 和 Android 用户，特别是民间社会中的用户。

来源：老孙科技前沿