Apple发布安全更新以修复两个在野外被利用的WebKit漏洞

严重性：低 类型：漏洞利用

苹果于周五发布了针对iOS、iPadOS、macOS、tvOS、watchOS、visionOS及其Safari网络浏览器的安全更新，以解决两个据称已在野外被利用的安全漏洞，其中一个漏洞与谷歌本周早些时候在Chrome浏览器中修复的漏洞相同。漏洞详情如下：

• CVE-2025-43529 （CVSS评分：暂无） - WebKit中的一个释放后使用漏洞
• CVE-2025-14174 （CVSS评分：暂无） - ANGLE库的Metal渲染器中存在的一个越界内存访问相关的内存损坏问题

技术分析

此次安全威胁涉及WebKit中的两个关键漏洞。WebKit是苹果Safari以及iOS和iPadOS上所有第三方浏览器使用的浏览器引擎。

第一个漏洞CVE-2025-43529是一个释放后使用漏洞，在处理恶意制作的网页内容时可能导致任意代码执行。此类漏洞允许攻击者利用内存管理错误远程执行代码，从而可能获得受影响设备的控制权。

第二个漏洞CVE-2025-14174是一个与ANGLE库的Metal渲染器中越界内存访问相关的内存损坏问题，同样会导致内存损坏和可能的代码执行。此漏洞也由谷歌在Chrome中同步修补，突显了其跨平台影响。

这两个漏洞已在野外的复杂攻击中被利用，这些攻击针对特定个人，很可能涉及雇佣间谍软件活动。受影响的平台包括iOS（26.2之前版本）、iPadOS、macOS（Tahoe和Sonoma/Sequoia）、tvOS、watchOS、visionOS以及Safari浏览器版本。苹果将发现和报告这些漏洞的功劳归于谷歌的威胁分析小组及其自身的安全工程与架构团队。

利用这些漏洞除了访问恶意网页外，不需要任何用户交互，这增加了广泛危害的风险。这些零日漏洞突显了及时打补丁的至关重要性，特别是考虑到它们被用于有针对性的间谍活动。

潜在影响

对于欧洲的组织而言，由于苹果设备在消费级和企业环境中被广泛采用，这些WebKit漏洞的影响是巨大的。成功利用可能导致任意代码执行，使攻击者能够安装间谍软件、窃取敏感数据或获得对公司网络的持久访问权限。

这些漏洞影响iOS/iPadOS上的所有浏览器，这一事实扩大了攻击面，因为无论用户选择何种浏览器，都可能被诱骗访问恶意网站。利用这些漏洞的针对性攻击可能危及高管、政府官员、记者和其他高价值个人，导致间谍活动、知识产权盗窃或服务中断。

该漏洞的跨平台性质（同样影响苹果设备上的Chrome）进一步放大了风险。此外，这些零日漏洞在复杂的间谍软件活动中的利用表明，威胁行为者动机强烈且能力高超，这提高了处理敏感或受监管数据的组织的风险等级。未能及时修补可能导致严重的机密性破坏和声誉损害。

缓解建议

欧洲组织应实施多层缓解策略，而不仅仅是简单地应用补丁。首先，最重要的是尽快确保所有苹果设备更新到最新的操作系统版本（iOS/iPadOS 26.2、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2、Safari 26.2）。部署移动设备管理解决方案以强制执行更新合规性并监控设备健康状况。在个人或非受管理的苹果设备修补之前，限制其访问敏感的公司资源。

采用网络级防护措施，如网络过滤和DNS过滤，以阻止访问可能托管漏洞利用有效载荷的已知恶意域名和URL。增强端点检测与响应能力，以识别表明漏洞利用尝试或间谍软件安装的异常行为。教育用户关于访问不可信网站的风险以及及时安装更新的重要性。对于高风险用户，考虑部署浏览器隔离技术或限制浏览器功能以减少暴露面。最后，制定针对间谍软件和零日漏洞利用场景的稳健事件响应计划，以实现快速遏制和修复。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、瑞典、比利时、瑞士、挪威

来源： The Hacker News 发布日期： 2025年12月13日，星期六