公众号关注 「奇妙的 Linux 世界」
设为「星标」,每天带你玩转 Linux !

近日,苹果公司发布紧急安全更新,修复其ImageIO框架中一个已被黑客积极利用的零日漏洞CVE-2025-43300。
该漏洞危险性极高,攻击者仅需1张图片即可致使未更新的苹果设备内存损坏、应用程序崩溃,或是允许威胁者远程运行恶意代码。
Part01
漏洞详情
CVE-2025-43300的零日越界写入漏洞存在于ImageIO框架中。苹果官方描述称:攻击者可通过构造恶意图像文件触发内存损坏漏洞。苹果确认在补丁发布前已收到该漏洞被用于针对性攻击的报告,但未透露具体影响范围和攻击来源。

攻击路径可视化
苹果公司并未进一步讨论该漏洞的细节,以便让用户有足够的时间进行修补,同时避免向其他威胁者提供有关如何利用该漏洞的信息。

Part02
受影响设备与版本
目前,已知以下版本的苹果设备受到该漏洞影响:
- iOS 18.6.2和iPadOS 18.6.2
- iPhone XS及后续机型、13英寸iPad Pro、第三代及后续12.9英寸iPad Pro、第一代及后续11英寸iPad Pro、第三代及后续iPad Air、第七代及后续iPad、第五代及后续iPad mini
- iPadOS 17.7.10
- 第二代12.9英寸iPad Pro、10.5英寸iPad Pro和第六代iPad
- macOS Ventura 13.7.8
- 运行macOS Ventura的Mac电脑
- macOS Sonoma 14.7.8
- 运行macOS Sonoma的Mac电脑
- macOS Sequoia 15.6.1
- 运行macOS Sequoia的Mac电脑
苹果公司也已针对这些设备发布相关补丁,建议用户尽快更新。

Part03
攻击背景与相关漏洞
目前尚不清楚攻击幕后黑手及其具体目标,但该漏洞很可能已被武器化,用于高度针对性的攻击。
通过此次更新,苹果今年已累计修复了7个在真实攻击中被利用的零日漏洞,包括:CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201和CVE-2025-43200。
上个月,该公司还修复了Safari浏览器中一个开源组件漏洞(CVE-2025-6558),谷歌报告称该漏洞在Chrome浏览器中已被作为零日漏洞利用。

苹果2025年零日漏洞时间轴
Part04
专家分析
苹果设备管理公司Jamf Holding Corp.高级安全策略经理Adam Boynton指出:苹果已表明该漏洞被用于针对高价值目标的精密攻击,典型受害者包括记者、律师、活动人士和政府官员。虽然苹果未确认该漏洞是否与间谍软件相关,但ImageIO和WebKit的类似漏洞曾被用于飞马(Pegasus)间谍软件攻击。即使攻击看似针对性强,我们仍建议所有用户立即升级至iOS 18.6.2。
Tenable Holdings Inc.高级研究工程师Satnam Narang分析称:苹果通常对零日漏洞的野外利用细节披露有限,但极少使用'针对特定个体的高度复杂攻击'这类表述。根据观察,苹果自2025年起对包括CVE-2025-24201在内的多个漏洞采用这种表述方式,显示其对外沟通策略更具目的性。
参考来源:
Apple Patches CVE-2025-43300 Zero-Day in iOS, iPadOS, and macOS Exploited in Targeted Attacks
https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html

🚀 最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。
🌟『极客视界』科技达人必备综合资讯指南,等你来探索!访问网址 https://bestgeek.org 即可打开新世界。
📕 关注『奇妙的 Linux 世界』公众号,带你开启有趣新生活!更多好用好玩的软件资源,可访问 https://666666.dev 免费获取。

你可能还喜欢
点击下方图片即可阅读
网页复制神器 SmartCopy 重磅更新!一键将任意网页变为精美的 Markdown 笔记
点击上方图片,『美团|饿了么』大额外卖红包天天免费领

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

937

被折叠的 条评论
为什么被折叠?



