news 2026/7/16 17:51:08

苹果紧急修复两个已遭利用的 0day 漏洞

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
苹果紧急修复两个已遭利用的 0day 漏洞

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

苹果公司紧急修复了被用于“极其复杂攻击活动”中的两个 0day 漏洞CVE-2025-43529和CVE-2025-14174。

苹果公司发布安全通告提到,漏洞利用“针对 iOS 26 之前的 iOS 版本用户”。CVE-2025-43529是一个位于 WebKit 中的释放后使用远程代码执行漏洞,可通过处理恶意构造的 web 内容遭利用,由谷歌威胁分析团队发现。CVE-2025-14174是一个 WebKit 内存损坏漏洞,可导致内存损坏,由苹果和谷歌的威胁分析团队发现。

受这两个漏洞影响的设备包括:

  • iPhone 11 及后续版本

  • iPad Pro 12.9英寸(第3代及后续版本)

  • iPad Pro 11英寸(第1代及后续版本)

  • iPad Air(第3代及后续版本)

  • iPad(第8代及后续版本)

  • iPad mini(第5代及后续版本)

苹果公司已在 OS 26.2和 iPadOS 26.2、iOS 18.7.3和iPadOS 18.7.3、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2和Safari 26.2中修复这些漏洞。

上周三,谷歌修复了一个神秘的 Chrome 0day 漏洞,最初将其标记为高危级别并表示“正在协调中”。不过,目前谷歌已更新该安全公告,提到该漏洞编号是CVE-2025-14174即位于 ANGLE 中的越界内存访问漏洞,与苹果修复的CVE编号一致,表明两家公司已经协同披露。

苹果只是提到遭利用攻击的个人运行 iOS 26 之前的版本,并未提到相关技术详情。由于这两个漏洞均影响 WebKit,而谷歌 Chrome 在 iOS 上使用它,因此攻击活动符合高针对性的间谍攻击特征。虽然这些漏洞仅用于针对性攻击中,但强烈建议用户及时安装最新安全更新,以减少利用风险。

从 2025年年初开始,苹果公司已修复7个 0day 漏洞,其它5个包括CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200和CVE-2025-31201。今年9月份,苹果还将0day漏洞CVE-2025-43300的修复方案向后兼容到运行 iOS 15.8.5/16.7.2以及iPad 15.8.5/16.7.12的老旧设备上。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

苹果紧急修复已遭利用的新 0day

苹果紧急修复已遭利用的两个0day

苹果紧急修复被用于“极其复杂”攻击中的0day漏洞

谷歌紧急修复已遭利用的 Chrome 新 0day,无CVE编号

CISA要求政府机构在7天内修复这个 Fortinet 新0day

原文链接

https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/16 11:54:02

LobeChat能否导出聊天记录?数据迁移很方便

LobeChat能否导出聊天记录?数据迁移很方便 在如今这个AI对话工具遍地开花的时代,用户的选择越来越多:从官方的ChatGPT、Claude,到本地部署的Ollama WebUI组合,再到各类开源前端如Dify、FastGPT……但真正能让人用得安…

作者头像 李华
网站建设 2026/7/16 0:30:20

Detect It Easy:AI如何革新文件检测技术

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 创建一个基于AI的文件检测工具,能够自动识别文件类型(如PE、ELF、PDF等),并分析文件结构以检测潜在威胁。工具应支持批量处理&#x…

作者头像 李华
网站建设 2026/7/16 11:46:11

Kotaemon入门与实战全解析

Kotaemon入门与实战全解析 在企业级AI应用日益复杂的今天,一个常见的痛点浮现:大语言模型(LLM)虽然能“说”,但说得是否准确?有没有依据?能否被审计和优化?尤其是在金融、医疗这类高…

作者头像 李华
网站建设 2026/7/17 8:39:32

Spring Batch入门指南:从零到第一个批处理作业

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 创建一个最简单的Spring BootSpring Batch项目,实现以下功能:读取text文件中的诗句,为每行添加--来自Spring Batch后缀,输出到新文件…

作者头像 李华
网站建设 2026/7/15 12:11:22

用PlotJuggler和AI打造智能数据分析工作流

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 创建一个Python脚本,使用PlotJuggler的API接口实现以下功能:1. 自动导入CSV/JSON格式的时间序列数据;2. 通过AI模型检测数据异常点并标记&#x…

作者头像 李华
网站建设 2026/7/17 7:07:53

AI助力Vue3 Swiper开发:自动生成轮播组件代码

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 请生成一个基于Vue3的Swiper轮播组件代码,要求:1. 支持自动轮播和手动滑动 2. 包含分页器(pagination)和导航按钮(navigation) 3. 响应式设计,适…

作者头像 李华