Apple 修复关键零日漏洞

Apple 于周二修复了几乎所有支持的 iPhone 和 iPad 型号中的一个关键零日漏洞，并表示该漏洞可能已被用于针对特定目标个人的“极其复杂的攻击”，这些攻击针对的是旧版本的 iOS。

漏洞详情

该漏洞被追踪为 CVE-2025-24201，存在于 Webkit 中，Webkit 是驱动 Safari 和所有为 iPhone 和 iPad 开发的其他浏览器的浏览器引擎。受影响的设备包括 iPhone XS 及更新型号、iPad Pro 13 英寸、iPad Pro 12.9 英寸第三代及更新型号、iPad Pro 11 英寸第一代及更新型号、iPad Air 第三代及更新型号、iPad 第七代及更新型号以及 iPad mini 第五代及更新型号。该漏洞源于一个写入越界内存位置的错误。

补充修复

Apple 在简要的公告中写道：“影响：恶意制作的网页内容可能能够突破 Web Content 沙盒。这是对在 iOS 17.2 中被阻止的攻击的补充修复。（Apple 已了解到一份报告，称此问题可能在针对 iOS 17.2 之前版本的特定目标个人的极其复杂的攻击中被利用。）”

公告未说明该漏洞是由其内部研究人员还是外部人员发现的。这种归属通常能提供关于攻击者和攻击目标的线索。公告也未说明攻击开始的时间或持续时间。

更新建议

此次更新将 iOS 和 iPadOS 的最新版本升级到 18.3.2。面临最大威胁的用户可能是那些成为资金充足的执法机构或国家间谍目标的用户，他们应立即安装更新。虽然没有迹象表明该漏洞正在被广泛利用，但最好在更新发布后的 36 小时内安装更新。