苹果最近发布了一系列紧急安全更新,旨在修复WebKit跨平台网页浏览器引擎中的一个零日漏洞,该漏洞被标识为CVE-2025-24201。这个漏洞涉及越界写入问题,攻击者可以通过制作恶意的网页内容来利用该漏洞,从而突破Web Content沙箱的限制。苹果在iOS 17.2版本中已成功阻止了类似攻击,此次更新是对该漏洞的进一步修补。
漏洞的严重性及应对措施
苹果在官方公告中表示:“恶意制作的网页内容可能会突破Web Content沙箱的限制。这是在iOS 17.2中已阻止的攻击的一个补充修复。苹果已知悉有报告称,该漏洞可能在针对iOS 17.2之前版本的极其复杂攻击中被利用,攻击目标为特定个人。”
为修复这一漏洞,苹果增强了相关检查机制,并发布了iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1等更新版本。该漏洞影响的设备包括:iPhone XS及后续机型、iPad Pro 13英寸及后续机型、iPad Pro 12.9英寸(第三代及后续机型)、iPad Pro 11英寸(第一代及后续机型)、iPad Air(第三代及后续机型)、iPad(第七代及后续机型)、iPad mini(第五代及后续机型)、运行macOS Sequoia的Mac以及Apple Vision Pro。
2025年已修复的其他零日漏洞
CVE-2025-24201是苹果在2025年修复的第三个零日漏洞。以下是苹果今年修复的其他零日漏洞:
- 2025年1月 - CVE-2025-24085 - 该漏洞是影响Core Media框架的权限提升漏洞。
- 2025年2月 - CVE-2025-24200 - 攻击者可能利用该漏洞在锁定设备上禁用USB限制模式。苹果的USB限制模式是iOS 11.4.1中引入的一项安全功能,旨在通过Lightning端口保护设备免受未经授权的访问。
尽管苹果已修复了这些漏洞,但公司并未透露具体的攻击细节,也未将其归因于任何特定威胁行为者。用户应尽快更新设备系统,以确保安全。
