山東
IT之家 12 月 13 日消息,科技媒體 Appleinsider 今天(12 月 13 日)發(fā)布博文,報道稱蘋果發(fā)布 iOS 26.2、iPadOS 26.2 及 macOS Tahoe 26.2 系統(tǒng),共計修復了 25 個安全漏洞,并推薦所有用戶立即升級。
在蘋果本次修復的漏洞中,最值得關注的,是 CVE-2025-43529 和 CVE-2025-14174 兩個 WebKit 漏洞,由谷歌威脅分析小組(Google Threat Analysis Group)發(fā)現(xiàn)。
蘋果官方已確認,現(xiàn)有證據(jù)表明有黑客利用這兩個漏洞,可以對舊版 iOS 用戶發(fā)起極為復雜的定向攻擊。新版本通過改進內(nèi)存管理和驗證機制,徹底阻斷了惡意網(wǎng)頁內(nèi)容觸發(fā)“任意代碼執(zhí)行”的風險。
針對 App Store ,蘋果公司采取了額外的限制措施來解決一個權限問題,該問題允許應用程序訪問敏感的支付令牌。這個漏洞的編號為 CVE-2025-46288,現(xiàn)已修復,它是由字節(jié)跳動 IES 紅隊的 floeki 和 Zhongcheng Li 發(fā)現(xiàn)的。
蘋果在此次更新中修復了一處嚴重的內(nèi)核級整數(shù)溢出漏洞(CVE-2025-46285),攻擊者此前可通過該漏洞誘導系統(tǒng)崩潰或獲取 Root 權限。該漏洞由阿里巴巴集團的 Kaitao Xie 和 Xiaolong Bai 發(fā)現(xiàn)并提交,蘋果工程師通過引入 64 位時間戳技術,從底層邏輯上消除了這一隱患。
IT之家援引博文介紹,針對 AppleJPEG、Foundation 框架及多點觸控(Multi-Touch)組件中存在的內(nèi)存破壞問題,系統(tǒng)也加入了更嚴格的輸入驗證與邊界檢查機制,進一步夯實了操作系統(tǒng)的“地基”。
針對用戶感知極強的隱私痛點,iOS 26.2 修復了一個允許非授權訪問“已隱藏”相冊的配置漏洞(CVE-2025-43428),該漏洞由研究人員 Michael Schmutzer 發(fā)現(xiàn)并報告。
同時,針對 App Store 存在的權限提升問題(CVE-2025-46288),蘋果實施了額外的限制措施,防止惡意應用竊取敏感的支付令牌。對于屏幕使用時間(ScreenTime)功能,新版本也通過改進數(shù)據(jù)編校,堵住了應用竊取 Safari 瀏覽記錄的后門。
在通訊安全領域,iOS 26.2 重點加強了對 FaceTime 的狀態(tài)管理。此前存在的界面邏輯缺陷可能允許攻擊者偽造來電顯示 ID(Caller ID),甚至在遠程控制設備時無意泄露密碼字段。
更新后的系統(tǒng)通過優(yōu)化狀態(tài)管理邏輯(CVE-2025-46287),有效遏制了此類社會工程學攻擊的發(fā)生。同時,iMessage 和電話應用也分別通過增強隱私控制和權限檢查,修復了可能導致信息泄露的若干缺陷。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
