WhatsApp 已修复其苹果 iOS 和 macOS 系统 messaging 应用中的一个安全漏洞。该公司表示，在近期披露的一起苹果漏洞相关定向零日攻击中，该漏洞可能已被实际利用。 该漏洞的编号为 CVE-2025-55177（CVSS 评分：8.0），问题在于关联设备同步消息的授权机制不完善。WhatsApp 安全团队的内部研究人员发现了该漏洞，并对其风险等级进行了重新评估，相关贡献已得到认可。 这家由 Meta（原 Facebook）旗下的公司指出，该漏洞 “可能允许无关用户在目标设备上触发对任意 URL 内容的处理”。

网络安全相关信息

该漏洞影响以下版本的应用：

• iOS 版 WhatsApp：2.25.21.73 之前的版本
• iOS 版 WhatsApp Business（WhatsApp 商业版）：2.25.21.78 版本
• Mac 版 WhatsApp：2.25.21.78 版本

WhatsApp 还评估认为，这一缺陷可能与 CVE-2025-43300 漏洞（影响 iOS、iPadOS 和 macOS 系统）被结合利用，成为针对特定目标用户的复杂攻击的一部分。 苹果公司上周披露，CVE-2025-43300 漏洞已被武器化，用于 “针对特定个人的极为复杂的攻击”。该漏洞是 ImageIO 框架中的一个越界写入漏洞，处理恶意图像时可能导致内存损坏。 国际特赦组织安全实验室负责人唐查・奥克亚尔（Donncha Ó Cearbhaill）表示，WhatsApp 已通知了数量未公开的用户，告知他们在过去 90 天内，可能成为利用 CVE-2025-55177 漏洞的高级间谍软件攻击目标。 在发送给目标用户的警报中，WhatsApp 还建议用户对设备进行全面出厂重置，并保持操作系统和 WhatsApp 应用为最新版本，以获得最佳保护。目前尚不清楚此次攻击的发起者是谁，也不知道背后涉及哪家间谍软件供应商。

身份安全风险评估

奥克亚尔将这两个漏洞的组合攻击描述为 “零点击” 攻击，即无需用户进行任何交互（如点击链接），就能攻陷目标设备。 “初步迹象显示，此次 WhatsApp 攻击同时影响 iPhone 和安卓用户，其中包括公民社会人士，” 奥克亚尔表示，“政府间谍软件对记者和人权捍卫者的威胁仍在持续。”