Apple’s first iOS 26 security update fixes memory corruption flaw

By Alex Scroxton, Security Editor
Published: 30 Sep 2025 17:27

苹果已为其最新的iPhone操作系统iOS 26推送了首个安全更新，修复了一个中等严重性的漏洞，编号为CVE-2025-43400。该漏洞影响Apple FontParser，这是苹果操作系统中负责字体处理的组件。

安全暴露管理专家Hackuity的战略副总裁Sylvain Cortes表示：“FontParser是解释字体文件的系统，使得字符可以在应用程序、文档和网页中被正确解析。由于这些文件通常从文档、电子邮件或网站自动加载，此处的漏洞具有高风险。”

CVE-2025-43400是一个越界写入问题，当受影响的设备处理隐藏在看似无害内容中的恶意制作字体时会被利用。受影响的设备可能会出现意外行为，例如应用突然终止或进程内存损坏。

虽然应用崩溃通常只是令人烦恼而非危险，但进程内存损坏尤其危险，因为在特定情况下，它可能成为攻击链的一部分，导致攻击者获得未经授权的系统访问、窃取数据，甚至进一步实现远程代码执行（RCE）。

根据SANS技术研究所的Johannes Ullrich的说法，目前尚不清楚CVE-2025-43400是否可被利用以实现RCE，但成功利用该漏洞可能导致勒索软件攻击。

苹果在其典型的简洁公告中（苹果通常不会在其移动产品漏洞上提供过多细节，以免被利用来攻击其庞大的用户群）没有表明CVE-2025-43400是否在野外被利用。

历史上，苹果移动操作系统中发现的许多安全漏洞产生了重大影响，其中许多被间谍软件制造商和不良政府武器化，用于针对性的间谍和监视活动。

Cortes表示：“尽管尚未观察到在野的主动利用，但用户和企业应立即在所有苹果设备上应用最新更新，以最小化受攻击的风险。”

苹果设备管理专家Jamf的EMEIA高级安全策略经理Adam Boynton呼应了这一观点，并敦促安全管理人员不要陷入错误的自满情绪。

他表示：“由于该问题有可能导致服务中断或破坏系统稳定性，我们强烈建议您尽早更新到iOS 26.0.1。组织应确保设备群保持最新状态，强制执行合规性，并监控操作系统更新的推出状态。”

此次更新将iOS 26升级到版本26.0.1。与往常一样，设备未自动应用更新的用户可以通过导航到设备“设置”>“通用”>“软件更新”>“下载并安装”来找到它。

CVE-2025-43400也在iOS 18.7.1、iPadOS 26.0.1和18.7.1、macOS Sequoia 15.7.1、macOS Sonoma 14.8.1、macOS Tahoe 26.01.1以及visionOS 26.0.1中得到了修复。

良性错误

苹果于2025年9月15日发布了iOS 26。除了安全修复外，新更新还解决了一些更为良性（尽管令人沮丧）的错误，包括某些型号上的蓝牙、5G和Wi-Fi连接问题，以及应用图标显示和设备摄像头的问题。