苹果紧急修复ImageIO零日漏洞CVE-2025-43300,已被在野利用
苹果用户注意:新型零日漏洞正被活跃利用,立即更新您的设备!
近日,苹果公司发布了一系列紧急安全更新,修复了一个已被在野利用的零日漏洞。该漏洞被追踪为CVE-2025-43300,影响iOS、iPadOS和macOS系统,攻击者可通过特制图像文件发起攻击。
漏洞详情与分析
技术背景
CVE-2025-43300是一个存在于ImageIO框架中的越界写入漏洞。ImageIO框架是苹果系统中负责处理图像数据的核心组件,支持多种图像格式的读取和写入。
当设备处理恶意制作的图像文件时,该漏洞可能导致内存损坏,从而为攻击者提供执行任意代码的机会。这种漏洞通常不需要用户交互即可被触发,危险性较高。
在野利用
苹果在安全公告中明确指出:"苹果已收到报告,此问题可能已在针对特定目标的极其复杂攻击中被利用。"这表明该漏洞已经被高级持续性威胁(APT) 组织用于针对特定个人的精准攻击。
值得注意的是,此漏洞是由苹果内部发现并修复的,这显示了苹果在主动安全防护方面的能力提升。
受影响设备与更新指南
受影响设备范围
- iPhone XS及更新机型
- iPad Pro 12.9英寸第3代及更新机型
- iPad Pro 11英寸第1代及更新机型
- iPad Air第3代及更新机型
- iPad第7代及更新机型
- iPad mini第5代及更新机型
- 运行macOS Ventura、Sonoma和Sequoia的Mac设备
安全更新版本
用户应立即更新到以下版本:
- iOS 18.6.2 和 iPadOS 18.6.2
- iPadOS 17.7.10(适用于旧款iPad设备)
- macOS Ventura 13.7.8
- macOS Sonoma 14.7.8
- macOS Sequoia 15.6.1
2025年苹果零日漏洞态势
这是苹果在2025年修复的第7个在野利用的零日漏洞,前6个分别是:
- CVE-2025-24085(1月修复)
- CVE-2025-24200(2月修复)
- CVE-2025-24201(3月修复)
- CVE-2025-31200 和 CVE-2025-31201(4月修复)
- CVE-2025-43200(6月修复)
此外,7月苹果还修复了Safari浏览器中的一个漏洞(CVE-2025-6558),该漏洞在Chrome浏览器中也被作为零日利用。
这种频繁的零日漏洞出现趋势表明,苹果平台正成为高级攻击者越来越重视的目标。
更多参考:
- 爱思考-网安资讯
- 爱思考-每日安全资讯