⚠️ 漏洞概况与影响范围
2025年12月,苹果公司发布了紧急安全更新,以修复两个已被在野利用的零日漏洞[citation:1][citation:7]。这两个漏洞均存在于WebKit浏览器引擎中,该引擎是Safari浏览器以及iOS/iPadOS上所有第三方浏览器(包括Chrome、Edge、Firefox)的基础[citation:1]。
苹果在其安全公告中指出,有报告显示这些漏洞可能已被用于“针对特定目标个人的极其复杂的攻击”,攻击目标主要是iOS 26之前版本的用户[citation:1][citation:7]。
🔬 漏洞技术细节
本次修复的两个漏洞具体信息如下:
| 漏洞编号 | 类型 | CVSS评分 | 潜在影响 | 发现者 |
|---|---|---|---|---|
| CVE-2025-43529 | 释放后使用 (Use-after-free) | 暂无 | 处理恶意制作的网页内容可能导致任意代码执行[citation:1] | 谷歌威胁分析小组 (Google TAG)[citation:1] |
| CVE-2025-14174 | 内存破坏 (Memory corruption) | 8.8 (高危)[citation:1] | 处理恶意制作的网页内容可能导致内存破坏[citation:1] | 苹果SEAR与谷歌TAG[citation:1] |
需要特别注意的是,CVE-2025-14174与谷歌在2025年12月10日为Chrome浏览器修复的漏洞是同一个漏洞[citation:1][citation:7]。谷歌将其描述为其开源图形层引擎ANGLE的Metal渲染器中存在的越界内存访问问题[citation:1]。这标志着两家公司进行了协同披露。
📱 受影响的产品与修复版本
漏洞影响范围广泛,涵盖多款苹果设备与操作系统。苹果已通过以下更新版本修复了漏洞[citation:1]:
- iPhone与iPad:
- iOS 26.2 与 iPadOS 26.2(适用于iPhone 11及更新机型、多款iPad)
- iOS 18.7.3 与 iPadOS 18.7.3(适用于iPhone XS及更新机型、多款iPad)
- Mac:macOS Tahoe 26.2
- 其他设备:tvOS 26.2、watchOS 26.2、visionOS 26.2
- 浏览器:Safari 26.2(适用于运行macOS Sonoma和Sequoia的Mac)
🛡️ 安全建议与缓解措施
鉴于漏洞已被积极利用,所有用户应立即采取行动以降低风险:
- 立即安装更新:请立即前往设备的“设置”>“通用”>“软件更新”,检查并安装最新的系统更新[citation:1]。
- 保持警惕:由于漏洞通过恶意网页内容触发,应避免点击来源不明的链接或访问可疑网站。
- 企业防护:对于企业用户,应在全网范围内部署更新,并考虑使用网络代理和内容过滤解决方案来限制对不可信Web内容的访问。
📊 事件背景与关联
此次修复的两个漏洞使苹果在2025年修补的、已被在野利用的零日漏洞总数至少增加到9个[citation:1]。漏洞的复杂性和高度针对性的利用方式表明,它们很可能被用于雇佣间谍软件攻击[citation:1]。
苹果通常不会公开攻击的技术细节、来源或具体目标,但其快速响应和与谷歌的协同行动凸显了这些漏洞的严重性以及科技公司在应对高级威胁方面的合作[citation:7]。