苹果Safari浏览器Wasm解析漏洞分析

本文详细分析了苹果Safari浏览器JavaScriptCore中Wasm函数解析存在的释放后使用漏洞,该漏洞可导致远程代码执行,CVSS评分8.8分,需要用户交互触发,苹果已发布修复更新。

ZDI-25-1011 | 零日倡议公告

漏洞详情

发布日期:2025年11月13日

漏洞名称:Apple Safari JavaScriptCore Wasm函数解析释放后使用远程代码执行漏洞

ZDI编号:ZDI-25-1011
ZDI-CAN编号:ZDI-CAN-28039

CVE ID:CVE-2025-43432

CVSS评分:8.8 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)

受影响厂商:Apple

受影响产品:Safari

漏洞细节

该漏洞允许远程攻击者在受影响的Apple Safari安装上执行任意代码。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。

具体缺陷存在于Wasm函数的解析过程中。问题源于在对对象执行操作之前缺乏验证对象是否存在。攻击者可利用此漏洞在浏览器进程上下文中执行代码。

补充信息

苹果已发布更新修复此漏洞。更多详情请访问: https://support.apple.com/en-ca/125640

披露时间线

  • 2025年9月4日 - 向厂商报告漏洞
  • 2025年11月13日 - 协调公开发布公告
  • 2025年11月13日 - 公告更新

致谢

趋势科技零日倡议团队的Hossein Lotfi (@hosselot)

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次