苹果0Day漏洞遭利用,针对特定iPhone用户发起复杂攻击

苹果公司修复了两个WebKit 0Day漏洞,这些漏洞已被用于针对运行iOS 26之前版本的特定iPhone用户发起复杂攻击。2025年12月12日发布的iOS 26.2和iPadOS 26.2更新修复了WebKit中的CVE-2025-43529和CVE-2025-14174漏洞。

CVE-2025-43529是释放后使用漏洞,攻击者可通过恶意网页内容实现任意代码执行,该漏洞由谷歌威胁分析小组发现。CVE-2025-14174则是相关的内存损坏问题,苹果和谷歌TAG确认这两个漏洞与针对性间谍软件活动有关。

CVE编号 组件 影响 描述 研究人员
CVE-2025-43529 WebKit 任意代码执行 释放后使用,改进内存管理 谷歌威胁分析小组
CVE-2025-14174 WebKit 内存损坏 改进验证机制 苹果与谷歌TAG

这些漏洞影响iPhone 11及后续机型,以及特定型号的iPad Pro、iPad Air和iPad mini。

其他关键修复

苹果还修复了内核、Foundation、屏幕使用时间和curl等组件中的30多个漏洞。值得关注的问题包括:由阿里巴巴集团研究人员发现的内核整数溢出漏洞(CVE-2025-46285),可导致root权限提升;多个屏幕使用时间记录漏洞(CVE-2025-46277、CVE-2025-43538)可能泄露Safari浏览历史或用户数据。

WebKit还修复了类型混淆、缓冲区溢出和崩溃等问题(如CVE-2025-43541、CVE-2025-43501)。同时修复了libarchive(CVE-2025-5918)和curl(CVE-2024-7264、CVE-2025-9086)中的开源组件漏洞。

组件 CVE编号 影响 主要研究人员
内核 CVE-2025-46285 获取root权限 谢凯涛、白晓龙
屏幕使用时间 CVE-2025-46277 访问Safari历史记录 Kirin (@Pwnrin)
信息 CVE-2025-46276 访问敏感数据 Rosyna Keller

受影响设备与缓解措施

受影响设备包括iPhone 11及以上机型、12.9英寸iPad Pro(第三代及以上)、11英寸iPad Pro(第一代及以上)、iPad Air(第三代及以上)、iPad(第八代及以上)以及iPad mini(第五代及以上)。

用户应立即通过"设置 > 通用 > 软件更新"进行升级,以防范这些针对性攻击带来的风险,此类攻击模式与以往的间谍软件攻击一致。苹果未透露攻击者详细信息,但与谷歌的合作表明这些威胁可能具有国家级背景。

产品 受影响版本 已修复版本 兼容设备
iOS 26.2之前版本(26之前版本已被利用) 26.2 iPhone 11及后续机型
iPadOS 26.2之前版本(26之前版本已被利用) 26.2 12.9英寸iPad Pro(第三代及以上)、11英寸iPad Pro(第一代及以上)、iPad Air(第三代及以上)、iPad(第八代及以上)、iPad mini(第五代及以上)
相关推荐
黑科技iOS上架13 小时前
ReactNative入门介绍
经验分享·ios
智塑未来14 小时前
鸿蒙系统对比安卓、iOS,核心优势是什么?
android·ios·harmonyos
初雪云16 小时前
iOS 上架入门:证书、描述文件、IPA 上传到底是什么关系?
android·ios·自动化·产品经理·iphone
狂热开发者19 小时前
用 Typeoff 把会后口述整理成 Markdown 决策记录
人工智能·windows·macos·ios·安卓
2501_9159184121 小时前
PerfDog 太贵?iOS 性能监控工具的功能对比与选择
android·ios·小程序·https·uni-app·iphone·webview
MDM.Plus2 天前
苹果MDM技术演进:从远程控制到设备信任体系的构建
运维·服务器·安全·ios·mdm·手机店
韩曙亮2 天前
【Flutter】Flutter 进程保活 ③ ( 屏幕常亮设置 | Flutter 禁止息屏、关闭自动锁屏、屏蔽系统屏保 )
android·flutter·ios·屏幕常亮·禁止息屏
2501_915909062 天前
IPA 深度混淆是什么意思?从混淆强度到实际效果的解读
android·ios·小程序·https·uni-app·iphone·webview
apihz2 天前
经纬度制作高清卫星图片免费 API 接口详解
开发语言·ios·swift
黄林晴2 天前
KMP 正式支持 SwiftPM:CocoaPods 迁移配置指南
android·ios·kotlin