Xcode 26安全更新详解:修复多项漏洞与沙箱逃逸风险

苹果发布Xcode 26安全公告,修复开发工具路径处理漏洞、Git仓库克隆远程代码执行风险、IDE CoreML沙箱文件越权访问及Xcode沙箱逃逸问题,涉及多个CVE编号和研究人员贡献。

APPLE-SA-09-15-2025-12 Xcode 26

Xcode 26解决了以下问题。安全内容信息也可在 https://support.apple.com/125117 查看。

苹果在 https://support.apple.com/100100 维护安全发布页面,列出近期包含安全建议的软件更新。

开发工具

适用系统: macOS Sequoia 15.6 及更高版本
影响: 处理过大的路径值可能导致进程崩溃
描述: 通过改进验证解决了路径处理问题。
CVE-2025-43370: Nathaniel Oh (@calysteon)

开发工具

适用系统: macOS Sequoia 15.6 及更高版本
影响: 处理过大的路径值可能导致进程崩溃
描述: 通过改进检查解决了该问题。
CVE-2025-43375: Nathaniel Oh (@calysteon)

Git

适用系统: macOS Sequoia 15.6 及更高版本
影响: 克隆恶意构建的仓库可能导致远程代码执行
描述: 这是开源代码中的漏洞,苹果软件是受影响项目之一。CVE-ID由第三方分配。请在 cve.org 了解更多信息。
CVE-2025-48384

IDE CoreML

适用系统: macOS Sequoia 15.6 及更高版本
影响: 应用可能读取和写入沙箱外的文件
描述: 通过改进检查解决了该问题。
CVE-2025-43263: Mickey Jin (@patch1t)

Xcode

适用系统: macOS Sequoia 15.6 及更高版本
影响: 应用可能突破其沙箱
描述: 通过改进检查解决了该问题。
CVE-2025-43371: Mickey Jin (@patch1t)

额外致谢

Playgrounds
我们感谢 SecuRing 的 Wojciech Regula (wojciechregula.blog) 提供的协助。

Xcode 26可从以下网址获取:
https://developer.apple.com/xcode/downloads/。要检查Xcode是否已更新:

  • 在菜单栏中选择 Xcode
  • 选择 关于 Xcode
  • 应用此更新后的版本将为 “Xcode 26”。

所有信息也发布在苹果安全发布网站:
https://support.apple.com/100100

此消息使用苹果产品安全PGP密钥签名,
详细信息可在以下网址查看:
https://www.apple.com/support/security/pgp/

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次