苹果紧急修复字体解析漏洞，iPhone和Mac用户需立即更新

苹果发布了iOS和macOS更新，修复了一个字体处理中的中等严重性漏洞，该漏洞可能触发拒绝服务状态或内存损坏。

CVE-2025-43400漏洞是操作系统FontParser组件中的越界写入问题。越界写入漏洞发生在程序向分配给它的内存缓冲区之外写入数据时。这可能损坏相邻内存，导致崩溃、不可预测的行为，甚至允许攻击者执行任意代码。

攻击者可以制作恶意字体，导致应用程序崩溃或损坏进程内存，可能进而导致任意代码执行。

“处理恶意制作的字体可能导致意外的应用程序终止或损坏进程内存。”公告中写道，“通过改进边界检查解决了越界写入问题。”

苹果为iOS 26、macOS 26及更早平台发布了更新以修复此漏洞。发布的版本包括iOS/iPadOS 26.0.1、18.7.1、macOS 26.0.1、15.7.1、14.8.1和visionOS 26.0.1。

“通常，字体是安全且标准化的文件，每天在无数应用程序和网站中使用，但由于此漏洞，攻击者可以创建特殊制作的字体文件，其中包含利用操作系统字体处理引擎漏洞的操纵数据。当应用程序或系统进程加载此恶意字体时，可能触发内存损坏或崩溃。在最坏情况下，这可能使攻击者能够远程执行有害代码，获得对设备的控制。”Malwarebytes发布的分析中写道，“鉴于字体被广泛使用且通常在后台静默处理，字体漏洞对旨在入侵设备的攻击者构成了重要的风险载体。”

香港计算机紧急应变小组的公告确认，远程攻击者可以利用此漏洞进行远程攻击。

更新适用于iPhone 11及以后机型、iPad Pro 12.9英寸第3代及以后、iPad Pro 11英寸第1代及以后、iPad Air第3代及以后、iPad第8代及以后，以及iPad mini第5代及以后。