WhatsApp 近期修复了一个针对 Apple iOS 和 macOS 消息应用程序的重大安全漏洞(CVE-2025-55177)whatsapp网页版,该漏洞可能已被实际利用,且与 Apple 公布的零日攻击缺陷相关。该漏洞涉及在链接设备之间同步消息时的授权不足,可能使未经授权的用户处理来自任意 URL 的内容。受影响的版本包括 WhatsApp for iOS、WhatsApp Business for iOS 及 WhatsApp for Mac。WhatsApp 已通知部分在过去 90 天内受到间谍软件攻击的用户,建议他们进行设备重置并保持应用程序更新。安全专家指出,这种“零点击”攻击可能影响 iPhone 和 Android 用户,尤其是民间社会人士。
WhatsApp 应用程序中的安全漏洞
WhatsApp 已经解决了其针对 Apple iOS 和 macOS 的消息应用程序中的一个重大安全漏洞,该漏洞可能已经在实际中被利用,并与最近 Apple 公开的针对特定目标的零日攻击缺陷有关联。这个漏洞被标识为 CVE-2025-55177(CVSS 得分为 8.0)whatsapp网页版,涉及与链接设备同步消息相关的授权不足。WhatsApp 安全团队的内部研究人员被认为是发现和重新评估该漏洞的功臣。
漏洞的详细信息
该问题可能使未经授权的用户能够在目标设备上触发处理来自任意 URL 的内容。此缺陷影响多个版本的应用程序,包括 WhatsApp for iOS 在版本 2.25.21.73 之前,WhatsApp Business for iOS 版本 2.25.21.78,以及 WhatsApp for Mac 版本 2.25.21.78。此外,评估认为这一缺陷可能与 CVE-2025-43300 相关,该漏洞影响 iOS、iPadOS 和 macOS,是针对特定个人的复杂攻击的一部分。
对受影响用户的建议
国际特赦组织安全实验室负责人 Donncha Ó Cearbhaill 表示,WhatsApp 已通知一小部分被认为在过去 90 天内受到高级间谍软件活动针对的人,使用了 CVE-2025-55177。在发送给这些个人的警报中,WhatsApp 建议执行完整的设备出厂重置,并确保他们的操作系统和 WhatsApp 应用程序保持最新,以获得最佳保护。目前尚不清楚谁或哪个间谍软件供应商是这些攻击的幕后黑手。Ó Cearbhaill 将这些漏洞描述为“零点击”攻击whatsapp网页版,这意味着不需要用户交互,例如点击链接,即可危害设备。他指出,初步迹象表明,WhatsApp 的攻击影响了 iPhone 和 Android 用户,特别是民间社会中的用户。