iOS26.2正式版來了修復(fù)25個(gè)安全漏洞

小大

用微信掃描二維碼
分享至好友和朋友圈

關(guān)鍵詞：

2025-12-13 10:01:26 IT之家

蘋果發(fā)布了iOS 26.2、iPadOS 26.2和macOS Tahoe 26.2系統(tǒng)，修復(fù)了25個(gè)安全漏洞，并建議所有用戶盡快升級(jí)。其中最值得關(guān)注的是CVE-2025-43529和CVE-2025-14174兩個(gè)WebKit漏洞，由谷歌威脅分析小組發(fā)現(xiàn)。蘋果確認(rèn)有黑客利用這兩個(gè)漏洞對(duì)舊版iOS用戶發(fā)起復(fù)雜定向攻擊。新版本通過改進(jìn)內(nèi)存管理和驗(yàn)證機(jī)制，徹底阻斷了惡意網(wǎng)頁內(nèi)容觸發(fā)“任意代碼執(zhí)行”的風(fēng)險(xiǎn)。

iOS26.2正式版來了

蘋果還針對(duì)App Store采取了額外限制措施，解決了一個(gè)允許應(yīng)用程序訪問敏感支付令牌的權(quán)限問題。該漏洞編號(hào)為CVE-2025-46288，現(xiàn)已修復(fù)，由字節(jié)跳動(dòng)IES紅隊(duì)的floeki和Zhongcheng Li發(fā)現(xiàn)。此外，更新中修復(fù)了一個(gè)嚴(yán)重的內(nèi)核級(jí)整數(shù)溢出漏洞（CVE-2025-46285），攻擊者此前可通過該漏洞誘導(dǎo)系統(tǒng)崩潰或獲取Root權(quán)限。該漏洞由阿里巴巴集團(tuán)的Kaitao Xie和Xiaolong Bai發(fā)現(xiàn)并提交，蘋果工程師通過引入64位時(shí)間戳技術(shù)消除了這一隱患。

iOS26.2正式版來了修復(fù)25個(gè)安全漏洞

對(duì)于AppleJPEG、Foundation框架及多點(diǎn)觸控組件中存在的內(nèi)存破壞問題，系統(tǒng)加入了更嚴(yán)格的輸入驗(yàn)證與邊界檢查機(jī)制。iOS 26.2還修復(fù)了一個(gè)允許非授權(quán)訪問“已隱藏”相冊的配置漏洞（CVE-2025-43428），該漏洞由研究人員Michael Schmutzer發(fā)現(xiàn)并報(bào)告。蘋果實(shí)施了額外的限制措施，防止惡意應(yīng)用竊取敏感的支付令牌。對(duì)于屏幕使用時(shí)間功能，新版本也通過改進(jìn)數(shù)據(jù)編校，堵住了應(yīng)用竊取Safari瀏覽記錄的后門。

iOS26.2正式版來了修復(fù)25個(gè)安全漏洞

在通訊安全方面，iOS 26.2加強(qiáng)了FaceTime的狀態(tài)管理。此前存在的界面邏輯缺陷可能允許攻擊者偽造來電顯示ID，甚至在遠(yuǎn)程控制設(shè)備時(shí)無意泄露密碼字段。更新后的系統(tǒng)通過優(yōu)化狀態(tài)管理邏輯（CVE-2025-46287），有效遏制了此類社會(huì)工程學(xué)攻擊的發(fā)生。iMessage和電話應(yīng)用也分別通過增強(qiáng)隱私控制和權(quán)限檢查，修復(fù)了可能導(dǎo)致信息泄露的若干缺陷。

(責(zé)任編輯：zx0176)

關(guān)閉

iOS26.2正式版來了 修復(fù)25個(gè)安全漏洞

相關(guān)新聞

今日熱點(diǎn)

頻道熱點(diǎn)

iOS26.2正式版來了修復(fù)25個(gè)安全漏洞