聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果公司紧急修复了被用于“极其复杂攻击活动”中的两个 0day 漏洞CVE-2025-43529和CVE-2025-14174。
苹果公司发布安全通告提到,漏洞利用“针对 iOS 26 之前的 iOS 版本用户”。CVE-2025-43529是一个位于 WebKit 中的释放后使用远程代码执行漏洞,可通过处理恶意构造的 web 内容遭利用,由谷歌威胁分析团队发现。CVE-2025-14174是一个 WebKit 内存损坏漏洞,可导致内存损坏,由苹果和谷歌的威胁分析团队发现。
受这两个漏洞影响的设备包括:
iPhone 11 及后续版本
iPad Pro 12.9英寸(第3代及后续版本)
iPad Pro 11英寸(第1代及后续版本)
iPad Air(第3代及后续版本)
iPad(第8代及后续版本)
iPad mini(第5代及后续版本)
苹果公司已在 OS 26.2和 iPadOS 26.2、iOS 18.7.3和iPadOS 18.7.3、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2和Safari 26.2中修复这些漏洞。
上周三,谷歌修复了一个神秘的 Chrome 0day 漏洞,最初将其标记为高危级别并表示“正在协调中”。不过,目前谷歌已更新该安全公告,提到该漏洞编号是CVE-2025-14174即位于 ANGLE 中的越界内存访问漏洞,与苹果修复的CVE编号一致,表明两家公司已经协同披露。
苹果只是提到遭利用攻击的个人运行 iOS 26 之前的版本,并未提到相关技术详情。由于这两个漏洞均影响 WebKit,而谷歌 Chrome 在 iOS 上使用它,因此攻击活动符合高针对性的间谍攻击特征。虽然这些漏洞仅用于针对性攻击中,但强烈建议用户及时安装最新安全更新,以减少利用风险。
从 2025年年初开始,苹果公司已修复7个 0day 漏洞,其它5个包括CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200和CVE-2025-31201。今年9月份,苹果还将0day漏洞CVE-2025-43300的修复方案向后兼容到运行 iOS 15.8.5/16.7.2以及iPad 15.8.5/16.7.12的老旧设备上。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
苹果紧急修复已遭利用的新 0day
苹果紧急修复已遭利用的两个0day
苹果紧急修复被用于“极其复杂”攻击中的0day漏洞
谷歌紧急修复已遭利用的 Chrome 新 0day,无CVE编号
CISA要求政府机构在7天内修复这个 Fortinet 新0day
原文链接
https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
