Apple 修复 iOS 设备中的关键零日漏洞
苹果公司在最近发布的一份文件中确认,发现了两个影响iOS设备的重大零日漏洞,这些漏洞很可能在实际场景中被利用。这一发现凸显了针对特定个人而非普通公众的高级网络威胁的潜在风险。
漏洞的性质
这些漏洞与 CoreAudio 和 RPAC 有关,它们是 iOS 架构深处运行的关键内部框架。苹果公司称利用这些漏洞的攻击“极其复杂”,这与之前针对性间谍软件的攻击案例类似,让人想起臭名昭著的 Pegasus 软件。
漏洞详情
第一个漏洞编号为CVE-2025-31200,与 CoreAudio 有关。苹果公司解释说:“处理恶意制作的媒体文件中的音频流可能会导致代码执行。” 为了解决这个问题,该公司实施了一个修复程序,重点是通过改进边界检查来增强内存损坏管理。
第二个漏洞编号为CVE-2025-31201,与低级安全架构组件 RPAC 相关。该漏洞允许拥有访问权限的攻击者绕过指针身份验证(一种旨在防范基于内存的攻击的机制)。苹果的补救措施包括彻底删除存在漏洞的代码,这表明该漏洞的严重性。
影响与应对
值得注意的是,除非绝对必要,苹果通常不会公开承认主动利用漏洞的行为。他们对具体目标或提供详尽细节的谨慎态度,体现了苹果在敏感信息安全披露前对其的管理原则。
这些公告的时机,特别是在即将到来的 WWDC 之前谨慎推出更新,表明苹果的目标是解决这些紧迫的安全问题,然后将注意力转向 iOS 19 中预期的新功能,例如重新设计的用户界面和增强的 Siri 功能。
利用漏洞的历史
此次事件并非个例;Apple 设备此前也曾遭受过隐蔽攻击。例如,2021 年臭名昭著的 FORCEDENTRY iMessage 漏洞允许间谍软件在无需用户交互的情况下安装,这凸显了 Apple 生态系统中持续存在的风险。
可用更新
苹果已确认这些漏洞已在 iOS 和 iPadOS 18.4.1 版本中得到修复,强烈建议用户尽快安装,尤其是使用 iPhone XS 或更高版本,或兼容 iPad 的用户。此外,用户可以在 tvOS 18.4.1、macOS Sequoia 15.4.1 和 VisionOS 2.4.1 的更新中找到修复程序。
发表回复