苹果公司修复了一个被追踪为 CVE – 2025 – 24201 的零日漏洞,该漏洞已在 “极其复杂” 的网络攻击中被利用。
苹果发布了紧急安全更新,以修复 WebKit 跨平台网络浏览器引擎中被追踪为 CVE – 2025 – 24201 的零日漏洞。
该漏洞是一个越界写入问题,已在 “极其复杂” 的攻击中被利用。
攻击者可以利用精心制作的恶意网页内容来利用此漏洞,从而突破网页内容沙盒限制。在 iOS 17.2 中阻止了一次类似攻击后,苹果发布了这一修复措施作为额外保障。
苹果公司发布的安全公告中写道:“精心制作的恶意网页内容可能能够突破网页内容沙盒限制。这是针对在 iOS 17.2 中已被阻止的一次攻击的补充修复。(苹果知悉有报告称,在 iOS 17.2 之前的 iOS 版本中,该问题可能已在针对特定目标个人的极其复杂的攻击中被利用。)”
苹果公司通过改进检查机制修复了这个漏洞。为修复该零日漏洞,苹果发布了 iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2 以及 Safari 18.3.1。
该漏洞影响 iPhone XS 及后续机型、13 英寸 iPad Pro、12.9 英寸第三代及后续机型的 iPad Pro、11 英寸第一代及后续机型的 iPad Pro、第三代及后续机型的 iPad Air、第七代及后续机型的 iPad,以及第五代及后续机型的 iPad mini、运行 macOS Sequoia 的 Mac 电脑,还有 Apple Vision Pro。
苹果公司没有披露有关这些攻击的详细信息,也未指明攻击来自任何威胁行为者。
CVE – 2025 – 24201 是自今年年初以来的第三个零日漏洞。以下是该公司已修复的其他漏洞:
(1)2025 年 1 月 – CVE – 2025 – 24085:该漏洞是一个影响核心媒体框架的权限提升漏洞。
(2)2025 年 2 月 – CVE – 2025 – 24200:攻击者本可以利用该漏洞在 “锁定设备上” 禁用 USB 受限模式。苹果的 USB 受限模式是在 iOS 11.4.1 中引入的一项安全功能,用于保护设备免受通过 Lightning 接口的未经授权访问。
发表评论
您还未登录,请先登录。
登录