苹果产品多重漏洞可能导致任意代码执行

MS-ISAC 咨询编号： 2025-102
发布日期： 2025年11月7日

概述

在苹果产品中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。成功利用最严重的漏洞可能允许在登录用户上下文中执行任意代码。根据与用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。在系统上配置具有较少用户权限的用户帐户可能比使用管理用户权限操作的用户受影响较小。

威胁情报

目前没有报告表明这些漏洞在野外被利用。

受影响系统

• Xcode 26.1之前版本
• Safari 26.1之前版本
• visionOS 26.1之前版本
• watchOS 26.1之前版本
• tvOS 26.1之前版本
• macOS Sonoma 14.8.2之前版本
• macOS Sequoia 15.7.2之前版本
• macOS Tahoe 26.1之前版本
• iOS 26.1和iPadOS 26.1之前版本
• iOS 18.7.2和iPadOS 18.7.2之前版本

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：中

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户： 低

技术详情

在苹果产品中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。漏洞详情如下：

战术： 执行（TA0002）
技术： 客户端执行利用（T1203）：

• 在某些配置中，具有主机受限sudo访问权限的攻击者可能能够提升权限。（CVE-2025-32462）
• 处理恶意制作的网页内容可能导致内存损坏。（CVE-2025-43433、CVE-2025-43431）
• 处理恶意制作的媒体文件可能导致意外应用程序终止或进程内存损坏。（CVE-2025-43445、CVE-2025-43386、CVE-2025-43385、CVE-2025-43384、CVE-2025-43383、CVE-2025-43372、CVE-2025-43338）
• 应用程序可能能够导致意外系统终止或内核内存损坏。（CVE-2025-43447、CVE-2025-43462、CVE-2025-43373）

其他较低严重性漏洞包括：

• 处理恶意制作的文件可能导致堆损坏。（CVE-2025-43505）
• 处于特权网络位置的用户可能能够导致拒绝服务。（CVE-2025-43504）
• 访问恶意网站可能导致地址栏欺骗。（CVE-2025-43493）
• 访问恶意网站可能导致用户界面欺骗。（CVE-2025-43503）
• 应用程序可能能够绕过某些隐私首选项。（CVE-2025-43502）
• 恶意网站可能跨源泄露数据。（CVE-2025-43480）
• 处理恶意制作的网页内容可能导致意外进程崩溃。（CVE-2025-43458、CVE-2025-43430、CVE-2025-43427、CVE-2025-43443、CVE-2025-43441、CVE-2025-43435、CVE-2025-43425、CVE-2025-43440、CVE-2025-43432、CVE-2025-43429、CVE-2025-43421）
• 处理恶意制作的网页内容可能导致Safari意外崩溃。（CVE-2025-43438、CVE-2025-43457、CVE-2025-43434）
• 网站可能跨源泄露图像数据。（CVE-2025-43392）
• 恶意应用程序可能能够截取嵌入式视图中敏感信息的屏幕截图。（CVE-2025-43455）
• 应用程序可能能够访问受保护的用户数据。（CVE-2025-43379、CVE-2025-43394、CVE-2025-43395、CVE-2025-43399、CVE-2025-43461、CVE-2025-43351）
• 应用程序可能能够突破其沙箱。（CVE-2025-43407、CVE-2025-43448、CVE-2025-43476、CVE-2025-43412、CVE-2025-43481、CVE-2025-43497、CVE-2025-43364、CVE-2025-43393）
• 具有对已解锁设备物理访问权限的攻击者（与Mac配对）可能能够查看系统日志中的敏感用户信息。（CVE-2025-43423）
• 应用程序可能能够枚举用户安装的应用程序。（CVE-2025-43436）
• 应用程序可能能够访问敏感用户数据。（CVE-2025-43498、CVE-2025-43389、CVE-2025-43500、CVE-2025-43294、CVE-2025-43468、CVE-2025-43469、CVE-2025-43479、CVE-2025-43382、CVE-2025-43420、CVE-2025-43391、CVE-2025-43499、CVE-2025-43477、CVE-2025-31199、CVE-2025-43337、CVE-2025-43378、CVE-2025-43292、CVE-2025-43409、CVE-2025-43471、CVE-2025-43388、CVE-2025-43466、CVE-2025-43465、CVE-2025-43426、CVE-2025-43406、CVE-2025-43404、CVE-2025-43473、CVE-2025-43463）
• 应用程序可能能够对用户进行指纹识别。（CVE-2025-43507、CVE-2025-43444、CVE-2025-43439）
• 应用程序可能能够导致意外系统终止。（CVE-2025-43398、CVE-2025-43478）
• 沙箱应用程序可能能够观察系统范围的网络连接。（CVE-2025-43413）
• 即使"加载远程图像"设置关闭，仍可能加载远程内容。（CVE-2025-43496）
• 处理恶意制作的字体可能导致意外应用程序终止或进程内存损坏。（CVE-2025-43400）
• 具有对锁定Apple Watch物理访问权限的攻击者可能能够查看实时语音邮件。（CVE-2025-43459）
• 应用程序可能能够访问用户敏感数据。（CVE-2025-43322、CVE-2025-43411、CVE-2025-43405、CVE-2025-43335、CVE-2025-43334、CVE-2025-43390）
• 应用程序可能能够修改文件系统的受保护部分。（CVE-2025-43446）
• 恶意应用程序可能能够读取内核内存。（CVE-2025-43361）
• 应用程序可能能够获得root权限。（CVE-2025-43472、CVE-2025-43467）
• 远程攻击者可能能够导致拒绝服务。（CVE-2025-43401）
• 应用程序可能绕过Gatekeeper检查。（CVE-2025-43348）
• 应用程序可能能够导致意外系统终止或读取内核内存。（CVE-2025-43474）
• 沙箱应用程序可能能够访问敏感用户数据。（CVE-2025-43396）
• Ruby中的多个问题。（CVE-2024-43398、CVE-2024-49761、CVE-2025-6442）
• 具有物理访问权限的攻击者可能能够从锁定屏幕访问联系人。（CVE-2025-43408）
• 快捷指令可能能够访问通常对快捷指令应用程序不可访问的文件。（CVE-2025-30465、CVE-2025-43414）
• 解析文件可能导致意外应用程序终止。（CVE-2025-43380）
• 具有root权限的应用程序可能能够访问私人信息。（CVE-2025-43336）
• 应用程序可能能够导致拒绝服务。（CVE-2025-43397、CVE-2025-43377）
• 恶意应用程序可能能够获得root权限。（CVE-2025-43387）
• 恶意应用程序可能能够删除受保护的用户数据。（CVE-2025-43381）
• 访问网站可能导致应用程序拒绝服务。（CVE-2025-43464）
• 恶意HID设备可能导致意外进程崩溃。（CVE-2025-43424）
• 当多个用户同时登录时，iCloud Private Relay可能无法激活。（CVE-2025-43506）
• 通过改进验证解决了路径处理问题。（CVE-2025-53906）
• 应用程序可能能够导致意外系统终止或进程内存损坏。（CVE-2025-43402）
• 应用程序可能能够识别用户安装了哪些其他应用程序。（CVE-2025-43442）
• 恶意应用程序可能能够在安装之间跟踪用户。（CVE-2025-43449）
• 应用程序可能能够在被授予相机访问权限之前了解当前相机视图的信息。（CVE-2025-43450）
• 攻击者可能能够从锁定屏幕查看受限内容。（CVE-2025-43350）
• 设备可能持续无法锁定。（CVE-2025-43454）
• 具有对锁定设备物理访问权限的攻击者可能能够查看敏感用户信息。（CVE-2025-43460、CVE-2025-43418）
• 具有对设备物理访问权限的攻击者可能能够禁用被盗设备保护。（CVE-2025-43422）
• 键盘建议可能在锁定屏幕上显示敏感信息。（CVE-2025-43452）
• 应用程序可能能够在未经用户许可的情况下监控击键。（CVE-2025-43495）
• 非特权进程可能能够终止root进程。（CVE-2025-43365）

成功利用最严重的这些漏洞可能允许在登录用户上下文中执行任意代码。根据与用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。在系统上配置具有较少用户权限的用户帐户可能比使用管理用户权限操作的用户受影响较小。

建议措施

我们建议采取以下行动：

• 在适当测试后立即对易受攻击的系统应用苹果提供的稳定通道更新。（M1051：更新软件）
• 对所有系统和服务应用最小权限原则。以非特权用户（没有管理权限的用户）身份运行所有软件，以减少成功攻击的影响。（M1026：特权帐户管理）
• 限制使用某些网站，阻止下载/附件，阻止JavaScript，限制浏览器扩展等。（M1021：限制基于Web的内容）
• 使用功能检测和阻止可能导致或指示软件利用发生的条件。（M1050：利用保护）
• 通过应用程序控制和/或脚本阻止在系统上执行代码。（M1038：执行预防）
• 使用功能防止在端点系统上发生可疑行为模式。这可能包括可疑的进程、文件、API调用等行为。（M1040：端点行为预防）

安全防护措施

防护7.1： 建立和维护漏洞管理流程
防护7.2： 建立和维护修复流程
防护7.6： 执行外部暴露企业资产的自动漏洞扫描
防护7.7： 修复检测到的漏洞
防护16.13： 进行应用程序渗透测试
防护18.1： 建立和维护渗透测试计划
防护18.2： 执行定期外部渗透测试
防护18.3： 修复渗透测试发现的问题
防护4.7： 管理企业资产和软件上的默认帐户
防护5.4： 将管理员权限限制为专用管理员帐户
防护2.3： 处理未经授权的软件
防护2.7： 允许列表授权的脚本
防护9.3： 维护和执行基于网络的URL过滤器
防护9.6： 阻止不必要的文件类型
防护10.5： 启用反利用功能
防护2.5： 允许列表授权的软件
防护2.6： 允许列表授权的库
防护13.2： 部署基于主机的入侵检测解决方案
防护13.7： 部署基于主机的入侵防御解决方案

参考链接

苹果安全更新：

• https://support.apple.com/en-us/100100
• https://support.apple.com/en-us/125633
• https://support.apple.com/en-us/125632
• https://support.apple.com/en-us/125634
• https://support.apple.com/en-us/125635
• https://support.apple.com/en-us/125636
• https://support.apple.com/en-us/125637
• https://support.apple.com/en-us/125639
• https://support.apple.com/en-us/125638
• https://support.apple.com/en-us/125640
• https://support.apple.com/en-us/125641

CVE参考： （包含所有相关CVE编号的完整列表）