苹果公司发布了 iOS 26.2 和 iPadOS 26.2,修复了一系列安全漏洞,其中包括据报道已被用于针对 iOS 用户的复杂定向攻击的两个零日漏洞。
此次更新修复了至少 30 个关键系统组件的漏洞,涵盖从内核到 WebKit 的各个方面,暴露了恶意行为者对苹果软件生态系统的探测程度。
此次更新修复的两个零日漏洞分别是CVE-2025-43529 和CVE-2025-14174,这两个漏洞都位于 WebKit 中,WebKit 是 Safari 和其他 iOS 应用的底层浏览器引擎。据苹果公司称,这些漏洞可能已被用于针对个人用户的精准攻击,攻击可能通过恶意网络内容进行。CVE-2025-14174 此前已被报告为 Google Chrome 中的一个零日漏洞,后由 Google 威胁分析小组 (TAG) 分配,TAG 与苹果公司共同撰写了该漏洞的联合 CVE 归属报告。
CVE-2025-14174 涉及 ANGLE(Almost Native Graphics Layer Engine,几乎原生图形层引擎)中的内存损坏漏洞,ANGLE 是用于 WebGL 渲染的组件。该问题最初在 Chrome 浏览器中出现,并在 2025 年 12 月 11 日发布修复程序之前被积极利用。苹果公司自身的调查显示,该漏洞的影响通过共享依赖项扩展到了 iOS 系统,导致了 CVE-2025-43529 的出现,这是一个 WebKit 中的释放后使用漏洞,可能被利用来执行代码。
这些漏洞由谷歌的 TAG 团队和苹果的内部安全团队发现并分析。谷歌最初并未透露具体的技术细节以保护用户,这符合其针对实际存在的零日漏洞延迟披露的政策。苹果的公告证实,此次漏洞利用仅限于 iOS 26 之前的设备,这表明在发布更广泛的补丁之前,最近的更新已经缓解了该攻击途径。
除了这些高风险问题之外,iOS 26.2 还修复了其他几个具有重大隐私和安全影响的漏洞:
- CVE-2025-46285(内核):整数溢出漏洞,允许本地应用程序将权限提升至 root。
- CVE-2025-46288(App Store) :由于权限检查不当,应用程序可以访问敏感的Apple Pay 令牌。
- CVE-2025-43428(照片):配置问题允许未经授权访问隐藏的照片。
- CVE-2025-43542 (FaceTime):远程 FaceTime 会话可能会在屏幕共享期间无意中泄露密码字段,这是一个严重的隐私问题。
- CVE-2025-46276 和 CVE-2025-46292 :分别允许通过 Messages 和Telephony 框架未经授权访问用户数据的漏洞。
此次更新还修复了 WebKit 中的多个漏洞,包括类型混淆、缓冲区溢出、释放后使用漏洞和竞态条件漏洞。这些问题由趋势科技 ZDI、Epic Games 和谷歌 Big Sleep 团队的研究人员报告,仅访问恶意网页内容就可能导致任意代码执行或应用程序崩溃。
强烈建议 iPhone 和 iPad 用户立即更新到 iOS 26.2 和 iPadOS 26.2,方法是:设置 > 通用 > 软件更新 > 下载并安装 iOS 26.2。