苹果 iPhone/macOS 用户速更!1 张图片可让黑客远程操控你的设备,官方紧急修复

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

近日,苹果公司发布紧急安全更新,修复其ImageIO框架中一个已被黑客积极利用的零日漏洞CVE-2025-43300。

该漏洞危险性极高,攻击者仅需1张图片即可致使未更新的苹果设备内存损坏、应用程序崩溃,或是允许威胁者远程运行恶意代码。

Part01

漏洞详情


CVE-2025-43300的零日越界写入漏洞存在于ImageIO框架中。苹果官方描述称:攻击者可通过构造恶意图像文件触发内存损坏漏洞。苹果确认在补丁发布前已收到该漏洞被用于针对性攻击的报告,但未透露具体影响范围和攻击来源。

图片

攻击路径可视化

苹果公司并未进一步讨论该漏洞的细节,以便让用户有足够的时间进行修补,同时避免向其他威胁者提供有关如何利用该漏洞的信息。

图片

Part02

受影响设备与版本

目前,已知以下版本的苹果设备受到该漏洞影响:

  • iOS 18.6.2和iPadOS 18.6.2

    - iPhone XS及后续机型、13英寸iPad Pro、第三代及后续12.9英寸iPad Pro、第一代及后续11英寸iPad Pro、第三代及后续iPad Air、第七代及后续iPad、第五代及后续iPad mini

  • iPadOS 17.7.10

    - 第二代12.9英寸iPad Pro、10.5英寸iPad Pro和第六代iPad

  • macOS Ventura 13.7.8

    - 运行macOS Ventura的Mac电脑

  • macOS Sonoma 14.7.8

    - 运行macOS Sonoma的Mac电脑

  • macOS Sequoia 15.6.1

    - 运行macOS Sequoia的Mac电脑

苹果公司也已针对这些设备发布相关补丁,建议用户尽快更新。

图片

Part03

攻击背景与相关漏洞

目前尚不清楚攻击幕后黑手及其具体目标,但该漏洞很可能已被武器化,用于高度针对性的攻击。

通过此次更新,苹果今年已累计修复了7个在真实攻击中被利用的零日漏洞,包括:CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201和CVE-2025-43200。

上个月,该公司还修复了Safari浏览器中一个开源组件漏洞(CVE-2025-6558),谷歌报告称该漏洞在Chrome浏览器中已被作为零日漏洞利用。

图片

苹果2025年零日漏洞时间轴

Part04

专家分析

苹果设备管理公司Jamf Holding Corp.高级安全策略经理Adam Boynton指出:苹果已表明该漏洞被用于针对高价值目标的精密攻击,典型受害者包括记者、律师、活动人士和政府官员。虽然苹果未确认该漏洞是否与间谍软件相关,但ImageIO和WebKit的类似漏洞曾被用于飞马(Pegasus)间谍软件攻击。即使攻击看似针对性强,我们仍建议所有用户立即升级至iOS 18.6.2。

Tenable Holdings Inc.高级研究工程师Satnam Narang分析称:苹果通常对零日漏洞的野外利用细节披露有限,但极少使用'针对特定个体的高度复杂攻击'这类表述。根据观察,苹果自2025年起对包括CVE-2025-24201在内的多个漏洞采用这种表述方式,显示其对外沟通策略更具目的性。

参考来源:

Apple Patches CVE-2025-43300 Zero-Day in iOS, iPadOS, and macOS Exploited in Targeted Attacks

https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html



🚀 最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

🌟『极客视界』科技达人必备综合资讯指南,等你来探索!访问网址 https://bestgeek.org 即可打开新世界。

📕 关注『奇妙的 Linux 世界』公众号,带你开启有趣新生活!更多好用好玩的软件资源,可访问 https://666666.dev 免费获取。

你可能还喜欢

点击下方图片即可阅读

图片

网页复制神器 SmartCopy 重磅更新!一键将任意网页变为精美的 Markdown 笔记


点击上方图片,『美团|饿了么』大额外卖红包天天免费领

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值